Alvorlig Exchange-sårbarhed udnyttes i Danmark: »Vi kender ikke omfanget endnu«

9. marts 2021 kl. 17:3032
Alvorlig Exchange-sårbarhed udnyttes i Danmark: »Vi kender ikke omfanget endnu«
Illustration: Shodan // Senrio.
Der er travlt hos de danske sikkerhedsselskaber efterhånden som sagen eskalerer. Angribere har nu lavet en automatiseret angrebsproces, lyder det.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Der er travlhed hos de danske it-sikkerhedsfirmaer, som Version2 har været i kontakt med i de seneste dage, der alle har kunder, som er berørt af Microsoft Exchange-sårbarheden. Sårbarheden har i et ukendt tidsrum gjort Exchange-brugere over hele verden sårbare over for angreb, og der er allerede flere eksempler på, at den aktivt bruges i Danmark.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
32 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
32
12. marts 2021 kl. 11:11

Hvad med virksomhedens printere? Kaffemaskiner?

Jeg har netop set hvor "nemt" det er at leje en printer/scanner/kopimaskine.

Den kommer færdigt konfigureret og skal bare have strøm og et LAN med internetadgang.

Så er den klar til at sende alle scannede / kopierede sider til udlejers mailserver (og videre til rette modtagere)

Der skal ikke meget paranoia til ikke at synes at det er en god ide at det er printer leverandøreren der bestemmer hvilken mailserver man anvender ...

31
11. marts 2021 kl. 10:16

Nu er det jo ikke DMARC som fortæller hvem der må sende på dit domænes vegne, men SPF og DKIM. DMARC fortæller det spoofede domænes admin at der måske forgår noget de ikke er helt herre over.

Nu kerede jeg mig ikke specifikt om det var det ene eller det andet, og hvilken retning, men om hele baduljen - og det understreger så meget godt min pointe, nemlig at det er en omgang esoterisk mumbo-jumbo som kun bliver værre for hver gang der klaskes endnu et lag på

Alt kom fortolkes mere eller mindre, med mindre du fortæller at ingen udover smtp23.abcdef.com må sende noget fra dit domæne. Om modtgaerne så checker for det har du absolut ingen mulighed for at kontrolere.

Det er jo ikke det jeg foreslår, men at den der modtager mailen skal vende tilbage og spørge min mailserver (og den skal eksistere og være valid) om jeg har noget i kø til ham.

Alt er muligt, men i modsætning til højre/venstre-kørsel er der nok ikke noget som bliver dræbt af at fortsætte med at bruge smtp.

Nej, men da så meget desto mere et argument for at man godt kan skifte - opgaven er langt lettere og mindre farlig end at skifte fra venste til højrekørsel, og der sker ingen ulykker af at køre parallelle systemer i en overgangsperiode.

Helt enig. Men det vil bare ikke ske i praksis. Bare kig på instant messaging der er et hav af forskellige protokoller som ikke (eller kun i begrænset omfang) kan finde ud af at snakke sammen.

Man skal passe på med at sige aldrig - for ikke mange år siden var der nok ikke nogen der havde forestillet sig at Fæcesbog på det nærmeste ville overtage verdensherredømmet

Jeg kan ikke sige det bedre end <a href="https://xkcd.com/927/">https://xkcd.com/927/</a&gt; er hvad der vil ske i praksis.

Hvis man havde haft den indstilling for godt 100 år siden, så kørte vi stadigvæk i hestevogne.

Principielt er jeg enig. I praksis tror jeg bare ikke på at det vil ske.

Og det har du jo så desværre nok ret i, så i fremtiden vil vi udover spf, dkim, dmarc, dane, greylist, spamfiltre, 17 varianter af tls, også have noget så simpelt som postbesøgelse sovset ind i 117 ekstra lag af "beskyttelse", alt sammen i et naivt håb om at prøve at lappe på noget som er broken-by-design - samtidig med at profileringsmaskiner som Fæcesbog overtager det meste af kommunikationen (med deres "standard").

Flere af mine domains har igennem årene været brugt som afsender-adresse for spam.

Hvis man laver challenge-response, så kan et domæne kun afsende mails fra eget domæne.

30
10. marts 2021 kl. 22:03

Dengang forestillede jeg mig at lave en tjeneste der var rigtig stor. Hvis man gør det begynder folk at lave AI o.lign. der kan komme udenom captcha. Men måske vil det være nok til at holde spammerne væk. Pointen er at det handler om at gøre det dyrt at sende spam til mig.

Jeg ved af egen erfaring at der (også) benyttes random afsender-adresser.

Flere af mine domains har igennem årene været brugt som afsender-adresse for spam.

Alle de mails mails hvor afsender-adressen ikke havner hos afsender, ville derfor blive stoppet af en captcha.

Jeg er rimelig sikker på at de mange spam-mails IKKE af en reel afsender-adresse, men har ikke noget at hænge dem op på.

En helt anden ting er om en generel captcha-return-mail, ikke vil give helt andre problemer, når du flooder diverse mailboxes som er blevet (mis-)brugt som afsender-adresse.

/Henning

29
10. marts 2021 kl. 21:48

Sjovt du nævnet captcha - har overvejet noget lignede på flere offentlige adresser som til tider bliver flooded med spam.</p>
<p>Hvad er det som ikke skalerer i det?

Dengang forestillede jeg mig at lave en tjeneste der var rigtig stor. Hvis man gør det begynder folk at lave AI o.lign. der kan komme udenom captcha. Men måske vil det være nok til at holde spammerne væk. Pointen er at det handler om at gøre det dyrt at sende spam til mig.

28
10. marts 2021 kl. 19:22

Det kunne jeg sagtens blokere sammen med .top, .xxx. og hvad er ellers er af snaskede domæner - hvis folk så vi skrive til mig, så må de starte med at bruge et seriøst domæne.

Spørgsmålet er så bare om hvor mange af de mails der flyver rundt rent faktisk bliver sendt fra de host som de foregiver at sende fra.

Jeg så på et tidspunkt at de to største spam-domains er gmail.com og hotmail.com, så det kan være man bare skulle lukke for de to.

Jeg har ikke logget adsender-adresse/domain på min mailserver, men det kune være lidt sjovt at se hvordan fordelingen er på den spam jeg får afvist af greylist.

/Henning

27
10. marts 2021 kl. 18:03

Ja hvem har - det kan jo ende i et helvede at regler - bare se når man spørger om hvordan man sætter Dmarc op, og svaret involverer udtrykket "kunstnerisk frihed".

Nu er det jo ikke DMARC som fortæller hvem der må sende på dit domænes vegne, men SPF og DKIM. DMARC fortæller det spoofede domænes admin at der måske forgår noget de ikke er helt herre over.

Og det er det jeg gerne vil til livs, dvs. at det skal ikke baseres på fortolkning eller esoterisk dechifrering af ikke eksplicitte håndspålæggelser.

Alt kom fortolkes mere eller mindre, med mindre du fortæller at ingen udover smtp23.abcdef.com må sende noget fra dit domæne. Om modtgaerne så checker for det har du absolut ingen mulighed for at kontrolere.

Med mail kan det være nødvendigt med en overgangsordning på et par år, hvor der køres parallelt, ind til man trækker en streg i sandet - af en eller anden grund er ting åh så meget mere besværlige når vi taler mails, end der hvor to biler kan tænkes at støde frontalt sammen!

Alt er muligt, men i modsætning til højre/venstre-kørsel er der nok ikke noget som bliver dræbt af at fortsætte med at bruge smtp.

Det ville bla. betyde at en mailserver kunne simplificeres voldsomt, således at sikkerheden også bare på den konto blev bedre.

Helt enig. Men det vil bare ikke ske i praksis. Bare kig på instant messaging der er et hav af forskellige protokoller som ikke (eller kun i begrænset omfang) kan finde ud af at snakke sammen.

Hver gang der er kommet en ny, som var åh så god, mente udviklerne at det ville blive det nye sort, og alle ville skifte over på den. I praksis kom der bare endnu en i listen, og endnu mere uoverskuelighed på området.

Jeg kan ikke sige det bedre end https://xkcd.com/927/ er hvad der vil ske i praksis.

Det kan nogen gange være nødvendigt med et opgør, ellers ender vi bare med mere og mere opulente programmer, med deraf følgende mange muligheder for fejl, som PHK var inde på her:

Principielt er jeg enig. I praksis tror jeg bare ikke på at det vil ske.

/Henning

25
10. marts 2021 kl. 16:44

Hvad vil du opnå? At den lukker helt for et specifikt TLD?

Ja.

Men er godt klar over det nok er en stakket frist, for det kunne muligvis udelukke Albunien, men da det meste spam alligevel kommer fra en .com adresse, så kan det kun ramme noget.

Men. feks, en del af det spam jeg har set på det seneste kommer fra domænet .cyou, .xyz, .buzz, .guru, osv.

Det kunne jeg sagtens blokere sammen med .top, .xxx. og hvad er ellers er af snaskede domæner - hvis folk så vi skrive til mig, så må de starte med at bruge et seriøst domæne.

Og så kunne man måske også lige punke lidt på Icans tilladelser til perverterede topleveldomæner.

22
10. marts 2021 kl. 16:13

Hvem har lov til at sende mail for @eksempel.dk?

Ja hvem har - det kan jo ende i et helvede at regler - bare se når man spørger om hvordan man sætter Dmarc op, og svaret involverer udtrykket "kunstnerisk frihed".

Og det er det jeg gerne vil til livs, dvs. at det skal ikke baseres på fortolkning eller esoterisk dechifrering af ikke eksplicitte håndspålæggelser.

Men det bliver ikke nemmere end at skulle skifte hele cirkusset over på en ny protokol.

Nu skal man være varsom med udtrykket "nem" - men nogen gange kan man simplificere tingene voldsomt ved at rykke det hele op med rode og starte forfra (Sverige gik fra venstrekørsel til højrekørsel på en weekend, så hvor der er en vilje er der også en vej!).

Med mail kan det være nødvendigt med en overgangsordning på et par år, hvor der køres parallelt, ind til man trækker en streg i sandet - af en eller anden grund er ting åh så meget mere besværlige når vi taler mails, end der hvor to biler kan tænkes at støde frontalt sammen!

Det ville bla. betyde at en mailserver kunne simplificeres voldsomt, således at sikkerheden også bare på den konto blev bedre.

Det kan nogen gange være nødvendigt med et opgør, ellers ender vi bare med mere og mere opulente programmer, med deraf følgende mange muligheder for fejl, som PHK var inde på her:

https://www.version2.dk/blog/garbage-in-garbage-out-1092164

Modellen med bare at klaske mere og mere bras på, som spf, Dkim, Dmarc, Dane, graylist, rDNS, spamfiltre, eksterne vi-fikser-din-spam, og guderne vide hvad, er imo ikke vejen frem.

21
10. marts 2021 kl. 15:41

Mail lider stadig under tanken om relaying, i stedet for man en gang for alle skærer igennem, så al mail transport uden undtagelse er end-to-end.

Det går jo allerede den vej på nuværende tidspunkt, når der checkes for blandt andet spf:

Hvem har lov til at sende mail for @eksempel.dk?

At der så er for mange som ikke har sat det korrekt op er så en helt anden ting. Men det bliver ikke nemmere end at skulle skifte hele cirkusset over på en ny protokol.

/Henning

20
10. marts 2021 kl. 15:36

Næh ... jeg ville sende en mail retur med et link til en opkrævning. Først når der var betalt ville den pågældende mail blive overdraget til den rette modtager.

Er der lige en mailserver der ville komme på overarbejde hvis der kom en bølge som den vi lige har set?

Når du ikke får det samme gennem snailmail, så er det fordi posten opkræver betaling (frimærke) før den flinke postmand Per lægger brevet i postkassen.

Der er teknisk intet til hinder for at man kan proppe alskens ragelse i brevkassen, men herhjemme respekteres et Nej Tak til reklamer - så det har sådan set ikke så meget at gøre med et frimærke.

I øvrigt, Postmand Per lægger ikke brevet i postkassen.

19
10. marts 2021 kl. 15:25

Så din ide var at folk først skulle betale med Paypal, før de overhovedet trykkede send?

Næh ... jeg ville sende en mail retur med et link til en opkrævning. Først når der var betalt ville den pågældende mail blive overdraget til den rette modtager. Pointen er at den eneste grund til at vi modtager bunker af spam mail er at det i praksis er gratis. Når du ikke får det samme gennem snailmail, så er det fordi posten opkræver betaling (frimærke) før den flinke postmand Per lægger brevet i postkassen.

En mere lightweight version kunne være at bede afsenderen om at svare på et spørgsmål (á la captcha). Men captcha scaler ikke hvis min løsning blev populær ...

18
10. marts 2021 kl. 15:16

Vi er ikke i stand til det med root certificater. Hvorfor skulle det være muligt med domæner? Verden er et rodet sted. Der er lande hvor folk bor i blikskure og vasker tøj i den lokale flod. De har også domæner. At forestille sig at der skulle være styr på domæneudstedelse den slags steder er utopi.

Der er ingen der har sagt det er let - men det er trods alt en mulighed helt at blokere Albunien og Bolonien.

Svarende til at jeg egentlig godt kunne tænke mig hos min teleudbyder at kunne klikke af hvilke lande jeg overhovedet er interesseret i skal kunne kalde mig op - jeg kender ikke og jeg vil aldrig komme til at kende nogen i Marokko, så hele landet burde jeg kunne blokere.

Kan man i øvrigt sætte f.eks. et graylist filter op, som blokerer et helt topleveldomæne?

Ja der er mange issues. Betaling kunne klares med paypal. Husk på: Jeg er ligeglad med indtægten jeg er kun interesseret i at det koster noget for afsenderen.

Så din ide var at folk først skulle betale med Paypal, før de overhovedet trykkede send?

Mange issues er vist en underdrivelse.

17
10. marts 2021 kl. 15:01

Det burde der kunne findes en model for, ligesom Icann principielt set burde have orden i butikken.

Vi er ikke i stand til det med root certificater. Hvorfor skulle det være muligt med domæner? Verden er et rodet sted. Der er lande hvor folk bor i blikskure og vasker tøj i den lokale flod. De har også domæner. At forestille sig at der skulle være styr på domæneudstedelse den slags steder er utopi.

Og så måske lige den lille detalje at rent betalingsmæssigt og administrativt ville det ikke have nogen gang på jord.

Ja der er mange issues. Betaling kunne klares med paypal. Husk på: Jeg er ligeglad med indtægten jeg er kun interesseret i at det koster noget for afsenderen.

16
10. marts 2021 kl. 14:56

Kan du huske den her fra de tidlige 00'ere (jeg har ikke udfyldt den):</p>
<p><a href="https://craphound.com/spamsolutions.txt">https://craphound.com/spamsolu…;

Jeg formoder det er et forsøg på at være morsom.

Under alle omstændigheder, så kan du jo også udfylde skemaet fsva. Dane, Dmarc, Dkim, Spf og hvad man ellers kan finde på af mærkelige modeller, fordi man ikke vil tage et opgør med et broken-by-design paradigme.

Mail lider stadig under tanken om relaying, i stedet for man en gang for alle skærer igennem, så al mail transport uden undtagelse er end-to-end.

15
10. marts 2021 kl. 14:49

Det er ganske nemt at oprette et "legitimt domæne".

Det kommer så lidt an på hvor man er henne i verden - men man kunne jo sagtens per definition spærre alt der kommer fra Albunien - og hvis et legitimt domæne begynder at sende spam, så hedder det blacklist.

Problemstillingen er præcist den samme som med certificater. Hvem skal man stole på?

Det burde der kunne findes en model for, ligesom Icann principielt set burde have orden i butikken.

Er en domæne i Bolonien værd at stole på?

Hvis ikke domæneudbyder i Bolonien kan finde ud af det, så bør Icann svinge hammeren.

Og hvad med de bunker af email der kommer fra hotmail, yahoomail, gmail, etc. Der kommer også spam derfra.

Hvis vi kan blokere gmail og hotmail, så bliver verden da bare et bedre sted.

Alas, grunden til at jeg ingen steder kom med projektet var at webbutikker etc. sender fra mystiske email adresser.

Og så måske lige den lille detalje at rent betalingsmæssigt og administrativt ville det ikke have nogen gang på jord.

14
10. marts 2021 kl. 14:30

Benægter du hermed, at en challenge responsemodel, som er afhængig af at en mail bliver sendt fra en legitim bruger på et legitimt domæne til en en legitim bruger på et andet legitimt domæne, og som kun afsendes hvis modtageren accepterer afsender, vil virke?

Det er ganske nemt at oprette et "legitimt domæne". Problemstillingen er præcist den samme som med certificater. Hvem skal man stole på? Er en domæne i Bolonien værd at stole på? Og hvad med de bunker af email der kommer fra hotmail, yahoomail, gmail, etc. Der kommer også spam derfra.

Men når nu vi taler om nonsens, så at det vist tanken om at der skulle betales for at sende mails - hvem skulle have de penge, dine venner hos MS?

Som jeg skrev: Pengene skulle gå til velgørenhed. Jeg er ikke interesseret i pengene. Jeg er kun interesseret i at det ikke er gratis at spilde min tid med at sende spam.

Og din model om at det skulle koste at sende mails til dig - mon ikke de fleste vil være ret så ligeglade med Michael Cederberg?

Det er jeg helt sikker på. Men alle der havde en god grund til at kontakte mig og endnu ikke var på min whitelist ... de skulle betale. Alas, grunden til at jeg ingen steder kom med projektet var at webbutikker etc. sender fra mystiske email adresser.

12
10. marts 2021 kl. 13:46

Grunden til at spam email findes er at email er de facto gratis. Så længe det ikke koster noget at sende emails, så vil vi have spam.

Benægter du hermed, at en challenge responsemodel, som er afhængig af at en mail bliver sendt fra en legitim bruger på et legitimt domæne til en en legitim bruger på et andet legitimt domæne, og som kun afsendes hvis modtageren accepterer afsender, vil virke?

Selvføgelig vil man kunne købe et domæne, og sende legitime mails ud fra det, men det kan så stoppes i løbet af nul komma niks - og hvis man så ikke tillader anonyme domæner, så er der jo også nogen bagved at gå efter.

Men når nu vi taler om nonsens, så at det vist tanken om at der skulle betales for at sende mails - hvem skulle have de penge, dine venner hos MS?

Og din model om at det skulle koste at sende mails til dig - mon ikke de fleste vil være ret så ligeglade med Michael Cederberg?

11
10. marts 2021 kl. 13:36

Hvorfor er det nonsens?

Fordi open source også hjælper angriberen. Diskussionen der derfor meget mere nuanceret.

Nu er netop email trafik kun brugbart, hvis der er åbent både indefra og ud og omvendt - og så er email trafikken anderledes en meget andet trafik, ved at emails i sig selv indeholder information - det er faktisk selve indholdet der er vigtigt.

Æh ... email trafik er ikke specielt anderledes ... de fleste service transporterer content der er vigtigt. Og der er ganske få situationer hvor en email-server har brug for at tilgå andre services i virksomheden (men Exchange servere har fx. brug for AD). Hvis det var alt hvad netværket var sat op til, så var dette en historie om hackede emails. Nu er det en historie om hackere der angiveligt arbejder for den kinesiske stat har været i stand til at køre deres egen kode på virksomheder og myndigheders netværk. Det giver ganske store mulighed og er noget helt andet end blot at stjæle emails.

Det eneste rigtige er at det slet ikke skal kunne være muligt at sende spam, og der er challenge-response imo den eneste løsning - samtidig med at man ikke lader et par enkelte konglomerater sætte sig på verdensdominansen.

Grunden til at spam email findes er at email er de facto gratis. Så længe det ikke koster noget at sende emails, så vil vi have spam.

Jeg overvejede for år tilbage at lave en email server hvor det koste penge (fx. 10 kr) at sende emails til mig hvis man ikke var på min whitelist. Tanken var at alle der havde en legitim grund til at sende emails til mig ville få pengene retur. Overskudet ville blive givet til velgørenhed.

10
10. marts 2021 kl. 13:33

Til de derude, der har med Exchange at gøre. Husk Windows Update ikke altid er svaret på om du har fået patchen. Dit CU-niveau skal være højt nok, og det er ikke en opgave Windows Update varetager.

Synes jeg har set et par eksempler nu, hvor en administrator har følt de var helt up-to-date da Windows Update ikke bød på noget, men hvor CU-level for eg. en 2016 har været helt tilbage før 10.

9
10. marts 2021 kl. 12:54

For flere år siden benyttede jeg PGP, hvor mails blev krypteret med en offentlig nøgle og kun kunne dekrypteres af/med min egen.

Nu kunne man jo her i landet have valgt at indføre en ægte digital signatur, det ville kunne sikre ægtheden af mailen.

Men det ville ikke gøre nogen ændring med overtagne mailservere som sprøjter mails ud i en lind strøm.

Jeg har prøvet at råbe op om det mange gange, den eneste måde vi kan få email til at fungere korrekt, er ved at indføre et challenge-response system:

https://www.version2.dk/artikel/google-blokerer-18-millioner-corona-mails-dagligt-1090454#comment-411317

For uagtet hvor meget Google og MS prøver at skampule mailparadigmet med deres egne fortolkninger, Dane, Dmarc osv. så fortsætter spammen jo med at vælte ud.

Det eneste rigtige er at det slet ikke skal kunne være muligt at sende spam, og der er challenge-response imo den eneste løsning - samtidig med at man ikke lader et par enkelte konglomerater sætte sig på verdensdominansen.

8
10. marts 2021 kl. 12:52

Har set nøjegtigt det samme på egen mailserver den sidste uges tid, lader dog netop til at have aftaget (kan også være fail2ban efterhånden har fanget de værste syndere)

7
10. marts 2021 kl. 12:43

Blev imponeret af Tutanota og flyttede vores private konti. Men ja. Gpg/pgp er bygget ind i flere løsninger.

6
10. marts 2021 kl. 11:13

For flere år siden benyttede jeg PGP, hvor mails blev krypteret med en offentlig nøgle og kun kunne dekrypteres af/med min egen.

Da jeg ikke er super teknisk og sikkerheds-ninja, ved jeg ikke, om det ville være en løsning at bruge det i højere grad.

Som jeg husker PGP lå mails dog ikke krypteret på serveren (imap), men det kunne måske løses, så de altid var krypteret og kun midlertidigt blev dekrypteret på klienten.

På den anden side - man ville nok hurtig blive træt af sikkerhedsrutinen, og sende som klar tekst alligevel. Men det kunne vel sagtens også løses på en brugervenlig måde.

5
10. marts 2021 kl. 09:36

... og fortæller os at dette aldrig var sket hvis det var open source. Hvilket selvfølgeligt er nonsens....

Hvorfor er det nonsens? Ulempen ved closed source, er at ingen vil kunne opdage problemet, før nogen ved ren gætværk finder fejlen, som det ser ud til, kan være til stede i lang tid. Open source garantere ikke at fejlen rettes før den bliver udnyttet, men der er en større sandsynlighed for det og at den kan blive lukket en gang for alle.

Det bør være slut med tanken om perimetersikring (dvs. ydre firewall) som primært forsvar mod angreb på virksomhedens netværk. I stedet bør alle "døre" i virksomheden være låst som standard indstilling og kun låst op når nogen har et behov (dvs. alt intern netværkstraffik skal gennem interne firewalls der kun åbner for planlagt traffik)

Nu er netop email trafik kun brugbart, hvis der er åbent både indefra og ud og omvendt - og så er email trafikken anderledes en meget andet trafik, ved at emails i sig selv indeholder information - det er faktisk selve indholdet der er vigtigt.

4
10. marts 2021 kl. 09:02

... og fortæller os at dette aldrig var sket hvis det var open source. Hvilket selvfølgeligt er nonsens. Eller at hvis alle havde lavet deres egen mail server fra grunden, så havde sådan et angreb ikke haft mulighed for at sprede sig. Hvilket naturligvis er korrekt, men så havde der også kun været 100000 mail adresser kloden rundt.

Det er selvfølgeligt skidt hvis alle virksomhedens emails bliver lækket - de er givetvis fyldt med spændende detaljer som aldrig skulle være lækket. Vi kan nok se frem til forsøg på afpresning af ledere kloden rundt i de kommende år på basis af stjålne emails.

Der hvor det bliver rigtigt skidt er selvfølgeligt hvis malware har haft mulighed for at sprede sig på virksomhedens lokale netværk. For set i lyset af at dette er en 0-day exploit og at kinesiske statshackere synes at stå bag, så må man forvente at samme hackere har andre 0-day exploits i lommen. Hvad med virksomhedens printere? Kaffemaskiner? Access control management? Basalt set kan en hvilken som helst device med en IP adresse på virksomhedens netværk være kompromiteret.

Med mindre virksomheden har microsegmenteret netværket. Der er ingen grund til at Exchange serveren skal kunne snakke med kaffemaskinen. Og selv hvis printeren har behov for at snakke med Exchange serveren, så er det svært at se at Exchange serveren har behov for at initiere kommunikation. Det bør være slut med tanken om perimetersikring (dvs. ydre firewall) som primært forsvar mod angreb på virksomhedens netværk. I stedet bør alle "døre" i virksomheden være låst som standard indstilling og kun låst op når nogen har et behov (dvs. alt intern netværkstraffik skal gennem interne firewalls der kun åbner for planlagt traffik).

Har dette sammenhæng med den voldsomme stigning i - forsøg på at sende - spammails?

Hvis man læser CVE'erne, så synes det ikke at være tilfældet. Problemet synes at opstå ved at man kan connecte til en exchange server og derved få den "på glat is".

3
10. marts 2021 kl. 00:06

Er med på det ikke er de store tal jeg arbejder med (kun et domæne og kun min egen mail) - kører ligeledes postfix (+rspamd). Stort set alle de der blev afvist af spamfilteret under denne bølge var med emnet 'Betaling fra din konto.' + nogle få med 'Bitcoin Earn 100.000 Euro'.

Umiddelbart har rspamd rejected 26.000 mails de sidste 12 mdr. - de 15.000 i perioden her fra fredag til i dag tirsdag.....

2
9. marts 2021 kl. 22:36

spam-mængden (afvist af spamfilter) eksploderede fra nærmest ikke eksisterende til 3.500-4.500 pr. dag (toppende ca. hver 3. tim

Ork. Det er jo småting.

Greylist'en på min server ligger normalt på ~150 nye hit pr døgn.

Fra i fredags til mandag ligger tallet mellem 33.000 og 40.000 på døgn.

I dag er den "helt" nede på 7500.

Early-retry ligger også unormalt højt. Normalt ~10-20 mod godt 100.000 forsøg i løbet af weekenden +/-

Jeg kan se at de primært er et enkelt af domænerne på serveren som er ramt.

Om det har noget med problemerne med Exchange at gøre er svært at sige - indholdet er ikke kommet ind på min server, som i øvrigt kører postfix på linux, men er bevet afvist i døren.

/Henning

1
9. marts 2021 kl. 21:44

Har dette sammenhæng med den voldsomme stigning i - forsøg på at sende - spammails? Jeg har en mail-server hvor jeg kører mail til mit eget domæne og kun til mig - jeg oplevede fra natten til .... fredag? at spam-mængden (afvist af spamfilter) eksploderede fra nærmest ikke eksisterende til 3.500-4.500 pr. dag (toppende ca. hver 3. time - https://www.vlh.dk/munin/vlh.dk/mail.vlh.dk/postfix_mailstats.html) og ser ud til her engang i nat/til morgen at være gået i sig selv igen....