Externe Mails kennzeichnen

Spamfilter machen meist einen guten Job aber es kommen immer mal wieder ein paar "böse" Mails durch und leider sind nicht alle Mitarbeiter so vorgewarnt, diese Mails zu erkennen. Das erfahre ich in meiner persönlichen Arbeit als Consultant immer wieder, dass doch mal eben tausende Euro überwiesen wurden oder Eine schädliche Anlage ausgeführt wurde, sei es über einen Link oder eine Anlage mit Makro. Hier versuche ich verschiedene Optionen vorzustellen, wie Sie die Sicherheit verbessern können.

Wissen ist Macht

Alle technischen Vorkehrungen können nicht darüber hinweghelfen, wenn Anwender unwissentliche oder aus falsch verstandener Neugier unvorsichtig sind. Daher ist aus meiner Sicht unerlässlich, dass Sie ihre Anwender immer wieder auf die Risiken beim Umgang mit Emails hinweisen. Das ist fast wie die Sicherheitsunterweisung, die in bestimmten Bereichen (Kraftwerke, Chemie etc.) auch immer wieder wiederholt werden.

Es bringt auch nichts, wenn sie erfolgreiche Angriffe todschweigen oder verheimlichen wollen. Die Erfahrung zeigt, dass sie als Firma dann erst beim zweiten oder gar dritten erfolgreichen Angriff einsehen, dass nur eine offene Kommunikation ihre Firma "abhärtet". Es ist viel wirkungsvoller zu kommunizieren, dass Sie schon Opfer geworden sind anstatt nur vom Hörensagen in anderen Firmen zu erzählen.

Das gilt übrigens auch im privaten Bereich. Wenn Sie als IT-Fachmann schon einmal "Datenretter" spielen mussten oder gefragt wurden, dann sollten gerade die Opfer ihr vorheriges "Unwissen" nicht verschämt totschweigen, sondern aktiv den Nachbarn und Freunden die Gefahr deutlich machen.

Warum gibt es wohl immer wieder Artikeln in Zeitschriften über ältere Personen, die angeblichen Polizisten ihre Wertsachen zur Verwahrung oder Enkeln finanziell aus der Patsche helfen wollten oder geholfen haben?

Das gilt aber auch für Firmen, denn oft wird es dem Opfer schon sehr schnell bewusst, dass sie etwas Falsches gemacht haben. Wenn Sie ihre Firma auf Furcht und Schrecken aufgebaut haben, dann wird der Mitarbeiter selbst versuchen, etwas zu reparieren oder zu verschleiern. Das spielt allein den Angreifern in die Hände. Denken Sie daran, dass so eine Person in einer Notlage ist. Ein Ansprechpartner oder Helpdesk für IT-Security sollte als Vertrauensperson und nicht als Mahner und "Verbieter" daher kommen.

Unabhängig davon können Sie natürlich durchaus mithelfen, das Risiko zu minimieren. Ich gebe ihnen ein paar Beispiele:

Absender anpassen

Wenn Sie sich eine Mail in Outlook anschauen, dann kann der geschulte Anwender mittlerweile sehr gut erkennen, ob die Mail "anonym" oder "authentifiziert" empfangen wurde.

  • Externer Absender
    Sie sehen gut, dass nicht nur der "Displayname" sondern auch die SMTP-Mailadresse mit angegeben wird, die der Absender im Header angegeben hat.

    Allerdings ist das kein Schutz, denn Spammer können den Displaynamen mit "Leerzeichen" auffüllen und damit die Mailadresse hinten raus schieben. Zudem ist die hier angezeigte Mailadresse ebenfalls durch den Absender vorzugeben und kann daher falsch sein. Eigentlich ist nur die Existenz so einer Anzeige ein Zeichen einer anonym eingelieferten Mail.
  • Interne Absender
    Wir eine Mail intern "authentifiziert" oder von einem vertrauenswürdigen System eingeliefert, dann sehen die Anwender nur den Displaynamen:

    Zudem wird beim internen Absender, sofern vorhanden, das Foto angezeigt. Wenn Sie also Firma keine Fotos nutzen, könnten Sie bei jedem Mitarbeiter ja einfach das Firmenlogo einblenden. Hoffentlich addiert Microsoft dann aber nicht die Funktion das Foto auch von anderen Firmen zu beziehen.

Dumm nur, dass das einem normalen Anwender nicht wirklich auffällt. Also könnte man ja auf den Gedanken kommen, einfach den vom Client im Display-Namen angezeigten Absender durch ein Prefix, z.B. "EXT:" zu erweitern.

Ob das aber für mehr Aufmerksamkeit bei den Anwender sorgt, wage ich zu bezweifeln.

Leider kann das nicht über eine Exchange Transport-Regel erfolgen aber ein vorgeschalteter Spamfilter oder ein SMTP-Relay könnte schon die "From"-Zeile (SMTP P1/P2-Felder) umschreiben. Allerdings können Sie hier keine Emojis oder UNICODE-Zeichen verwenden. Eine "Weltkugel (U+1F30E) wird also nicht angezeigt:

Das ist aber auch nicht zu erwarten, da es in den gängigen RFC dazu noch keine Beschreibung gibt. Einige Mailprogramme akzeptieren aber die ein oder anderen Sonderzeichen im Betreff:

Header fields defined by RFC 5322 contain only US-ASCII characters; for encoding characters in other sets, a syntax specified in RFC 2047 may be used.
Quelle: https://en.wikipedia.org/wiki/Email#Header_fields

Der Versuch eine Mail wie folgt einzuliefern, hat nicht funktioniert.

send-mailmessage `
   -From "=?UTF-8?Q?U+1F30E user1?= <user1@msxfaq.de>" `
   -To user1@netatwork.de `
   -Subject "Extern anonym UTF-8" `
   -SmtpServer localhost

Ich habe auch andere Schreibweisen versucht wie:

From: =?utf-8?Q?=C2=A0=20Frank Carius?= <frank@carius.de>
From: =?ISO-8859-1?Q?Frank Carius?=
From: =?UTF-8?Q?U+1F30E Frank Carius?=

Hier kommen wir also mit Bordmitteln von Exchange nicht weiter und selbst 3rd-Party Gateways, die vorgeschaltet sind, können maximal "Text" verwenden.

Der Nachteil eines voran gestellten Textes ist, dass dieser bei "Antworten" auch sichtbar wird.

Insofern ist dieser Weg denkbar aber nicht optimal.

Denken Sie daran, dass DKIM-Signaturen die FROM-Zeile mit einbeziehen, d.h. nachfolgende Stationen können die originale DKIM-Signatur nicht mehr prüfen

Betreff anpassen

Eine zweite Option, die Sie sogar per Exchange Transport Regel zentral vorgeben können, ist ein Prefix oder Suffix beim Betreff, um Nachrichten unterschiedliche zu kennzeichnen. Auch hier könnten sie z.B. ein "EXT:" davorsetzen. Das sollten die Anwender eigentlich problemlos erkennen können.

Der Vorteil dabei ist, dass viele Mailprogramme auch beim Antworten dieses Prefix entfernen, da Sie dies auch bei "WG:" und "AW:" und "Re:" schon machen. Leider gehört Outlook nicht dazu.

Wenn so eine längere Konversation zwischen zwei Partnern erfolgt, dann sehen Sie am Ende vom Betreff nicht mehr viel. Das gelingt aber bei der Nutzung der Standard-Prefixen wie z.B. "AW:"

Outlook zeigt in der Nachrichtenübersicht das "AW:" im Betreff gar nicht an, sondern nur beim Lesen der Mail. Wenn Sie dann Antworten, dann wird es nicht erneut angehängt. Das funktioniert bei einem deutschen Outlook sogar mit dem Prefix "Re:".

Leider habe ich kein anderes Prefix gefunden, welches man für "Extern" zweckentfremden könnte. Aber auch dann stellt sich die Frage, ob die Anwender das tatsächlich sehen.

Denken Sie daran, dass DKIM-Signaturen auch das Feld "Subject" in der Regel mit einbeziehen, d.h. nachfolgende Stationen können die originale DKIM-Signatur nicht mehr prüfen.

Nachricht anpassen

Das wichtigste an den meisten Mails ist der Body der Mail, d.h. der eigentliche Inhalt. Wenn der Anwender diese Information sowieso betrachtet, dann könnten Sie hier die Warnung einblenden. Es ist heute relativ einfach den Body einer Mail auf dem Transport zu verändern. Bei einer reinen Text-Mail kann ein Text einfach vorangestellt werden. Bei einer HTML-Mail hingegen muss die Software schon etwas pfiffiger vorgehen, um den Teil hinter "<BODY>" einzufügen.

Bei einer HTML-Mail kann die Meldung natürlich auch entsprechend gestaltet werden, z.B. als rot umrandete Meldung am Anfang oder sogar ein roter Rahmen um die ganze Mail.

Bei all den Veränderungen darf aber nicht vergessen werden, dass hier mehrere Dinge brechen können:

  • Digitale Signaturen
    Wenn der Body einer SMIM/PGP-signierten Mail verändert wird, dann passt die Signatur nicht mehr. Das Verfahren ist daher nur hinter einem SMIME/PGP-Gateway geeignet, welches vorab die Signatur prüft und dann nach intern entfernt, eh es die Mail verändert.
  • DKIM-Signatur
    Wenn der Body mit in die DKIM-Signatur aufgenommen wurde, dann bricht so eine Veränderung natürlich die Signatur
  • Warnungs-Kaskade
    Auch hier gilt wieder wie so oft, dass bei Antworten auf Mails die originale Warnung durch den Client nicht entfernt wird. Der Mitarbeiter hat also entweder etwas Mehrarbeit beim Bereinigen der zitierten Teile oder die Mail wird immer länger. Das Problem kennen Sie vermutlich schon seit dem Anfügen eines "Disclaimers". Es kann also durchaus interessant ein, ausgehende Mails auf solche "Reste" zu scannen und zumindest die eigenen Erweiterungen wieder zu entfernen.

Dennoch ist die Kennzeichnung am Anfang der Nachricht.

Outlook X-Message-Flag

Eine vielen Personen unbekannte Funktion ist mit dem Header-Feld „X-Message-Flag“ verbunden. Wenn dieses Custom Attribut vorhanden ist, dann zeigt Outlook diesen Text unter der Nachricht an. Mit Send-MailMessage (PowerShell und Mail) können Sie leider keinen Header mit senden. Sie können aber folgende PowerShell oder Blat u.a. nutzen.

$MailMessage = new-object system.net.mail.MailMessage(`
   "user1@msxfaq.de",`
   "use1@msxfaq.de",`
   "Test-header-flag",`
   "Body")
$client = New-Object system.net.mail.SmtpClient("localhost")
$client.Send($MailMessage)

Das ist natürlich nicht so schön wie ein Commandlet. Auch ist die "System.Net.Mail.SmtpClient"-Klasse ebenfalls als "obsolet" gekennzeichnet.

In Outlook kommt dann folgendes an:

Damit kann aber kein anderer Client etwas anfangen. Interessanterweise gab es mal eine Zeit, dass ein Spammer dieses Feld gesetzt hat.

Outlook bedingte Formatierung

Mit Outlook können Sie Nachrichten anhand bestimmter Kriterien farblich kennzeichnen. Sie können diese Funktion nutzen, um z.B. auf dem Exchange Server per Transportregel alle Mails mit einem externen Absender entsprechend kennzeichnen. Es ist sehr effektiv, wenn z. B. alle externen Mails mit einer roten Schrift angezeigt werden. Leider ist diese Funktion nicht in OWA oder auf mobilen Clients vorhanden. Da diese aber immer häufiger genutzt werden, ist es nur eine ergänzende Funktion, die aber meiner Erfahrung nach nicht häufig eingesetzt wird. Das dürfte auch daran liegen, dass solche Einstellungen von Anzeigeregeln nicht zentral vorgegeben werden können, sondern von jedem Anwender selbst einzustellen sind.

Getrennter Posteingang

Ein Leser der MSXFAQ hat noch eine andere Lösung beigesteuert, die für besonders sensible Konten durchaus interessant ist und ich hier etwas abgewandelt beschreibe. Ein normaler Mitarbeiter hat genau ein Postfach mit einem "Posteingang"-Ordner. Das ist aber nicht in Stein gemeißelt, denn sie können in Exchange auch weitere Ordner anlegen. Stellen Sie sich vor, sie legen einen zweiten Ordner "Posteingang (extern)" an und sorgen durch eine Regel dafür, dass alle Mails von nicht vertrauenswürdigen Absendern in diesen Ordner verschoben werden.

Denken Sie daran, bestimmte Domain auszuschließen. Gerade Benachrichtigungen von SharePoint oder Teams kommen mit den Domains "sharepointonline.com" oder "emeaemail.teams.microsoft.com" und noch ein paar anderen Domains, die Sie von ihrem eigenen Tenant gerne nicht im externen Posteingangsordner empfangen wollen. Die Domains sind per SPF gesichert und ihr Spamfilter sollte dies natürlich auch erzwingen.

Sie können natürlich auch eine Exchange Transportregel anlegen, die Mails von Extern besonders kennzeichnet, so dass dann eine Posteingangsregel dieses Kriterium nutzt um Mails in einen anderen Ordner verlagert.

Hinweis: Solche Posteingangsregeln können Sie auch per Powershell als Administrator für Benutzer anlegen.

Von einer Umleitung in ein komplett eigenes Postfach für eingehende externe Mails halte ich aber nichts, da das ja doppelte AD-Konten mit Shared-Mailbox, Rechte bedeuten würde und bei einer Antwort würde nicht zwingend mit der primären Adresse rausgehen

Aber das ist durchaus interessant für Postfächer mit höherem Schutzbedarf.

Intern kennzeichnen: Nein

Sie könnten nun auf den Gedanken, interne Mails zu kennzeichnen, dann sind sie nicht alleine. Ich habe das schon bei Kunden gesehen, die ein PGP/SMIME-Gateway von McAfee betrieben haben. Jede eingehende signiert Mail wurde vom Gateway der Signatur beraubt aber mit einer "grünen" Markierung und dem Hinweis auf eine gültige Signatur versehen. Ich habe so eine Firma einmal angeschrieben und in der Antwort des Mitarbeiters war natürlich auch diese Signatur zu sehen.

Es war dann ganz einfach, diese Signatur in der nächsten und unsigniert versandten Mail nachzubauen. Der Empfänger konnte so nicht erkennen, dass die Mail nicht signiert war. In Zeiten von Emotet und anderem Schadcode, der Mails ausleitet, wissen auch die bösen Jungs, welche Firmen ihre Mails wie kennzeichnen. Es ist dann sehr einfach eine "interne Mail" zu spoofen und den Empfänger in Sicherheit zu wiegen.

Muster HTML-Code

Egal, wie Sie eine Meldung addieren, sollten Sie sich HTML dafür verwenden. Hier ein Beispielcode meiner NoSpamProxy-Kollegen als Vorlage:

<p style="border:1px; border-style:solid; border-color: #FFCACA; background-color: #FFCACA; padding: 1em;">
  <span style=font-size:12.0pt;color:black;><b>[EXTERNAL E-MAIL]</span></b>
  <span style=font-size:10.0pt;color:black>DO NOT CLICK links or attachments unless you recognize the sender and know the content is safe.</span>
</p>

Das sieht dann so aus.

Weitere Links