Security-Alerts¶
Die Security-Alerts-Seite fasst vier proaktive Sicherheitssysteme zusammen: IOC-Monitor, Outbound Guard, Retroscan und System-Alerts. Die URL unterstützt ?tab=<name> für direkte Deep-Links aus dem Dashboard.
IOC-Monitor (False-Negative-Feedback-Loop)¶
Der IOC-Monitor verwaltet einen Feedback-Loop für Mails, die als Spam gemeldet wurden, aber den Filter durchlaufen haben (False Negatives).
Wie es funktioniert¶
- Endbenutzer melden eine Mail als Spam (über das Quarantäne-Portal oder einen E-Mail-Header-Link)
- nmg extrahiert URLs und Absender-Domains aus der gemeldeten Mail
- Extrahierte Indikatoren werden als IOC (Indicator of Compromise) gespeichert
- Alle zukünftigen Mails, die einen aktiven IOC enthalten (gleiche URL, gleiche Absender-Domain), erhalten einen Score-Boost
IOC-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Typ | url_host oder sender_domain |
| Wert | Der IOC-Wert (Hostname oder Domain) |
| Treffer | Anzahl der Mails, die diesen IOC enthielten |
| Aktiv | IOC ein-/ausschalten |
| Zuerst gesehen | Zeitstempel der ersten Meldung |
| Zuletzt gesehen | Zeitstempel der letzten Erkennung |
| Quelle | Gemeldete Nachricht, die den IOC erzeugte |
Metriken¶
Oben auf der Seite werden aggregierte Statistiken angezeigt: - Gesamtanzahl gemeldeter Mails - Meldungen in den letzten 30 Tagen - Aktive URL-IOCs - Aktive Absender-IOCs
Gemeldete Nachrichten¶
Der Tab Gemeldete Nachrichten zeigt alle Spam-Meldungen mit Metadaten (Absender, Betreff, Score zum Scan-Zeitpunkt, extrahierte IOC-Anzahl).
Outbound Guard¶
Der Outbound Guard erkennt kompromittierte SMTP-Accounts anhand ungewöhnlicher Sendespitzen.
Erkennungslogik¶
nmg überwacht das Sendevolumen je Absender-Account (SMTP-Auth-User) in gleitenden Zeitfenstern. Überschreitet ein Account plötzlich seinen normalen Senderhythmus um ein Vielfaches, wird ein Alert ausgelöst.
Alert-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Absender | SMTP-Auth-Benutzer (Absender-Adresse) |
| Zeitfenster | Beginn und Ende des Erkennungsfensters |
| Mail-Anzahl | Gesendete Nachrichten in diesem Zeitfenster |
| Empfänger-Anzahl | Anzahl unterschiedlicher Empfänger |
| Beispiel-Empfänger | Erste Empfänger des Bursts |
| Node | Erkennende Cluster-Node |
Empfohlene Reaktion¶
Bei einem Outbound-Alert: 1. SMTP-Account sofort deaktivieren 2. Passwort zurücksetzen 3. Gesendete Mails über Mail-Logs auf Spam-Content prüfen 4. Bei Bedarf externe Blacklist-Einträge prüfen und Delisting beantragen
Retroscan (Post-Delivery-IOC-Monitoring)¶
Der Retroscan prüft bereits zugestellte Mails nachträglich gegen Phishing-Feeds — nützlich, wenn eine URL zum Zeitpunkt der Zustellung noch sauber war und erst später als Phishing eingestuft wurde.
Ablauf¶
- nmg-Scheduler läuft nächtlich (konfigurierbar)
- Alle in den letzten N Tagen zugestellten Mails werden neu gescannt
- URLs werden gegen die aktuellen Phishing-Feeds geprüft
- Treffer erscheinen in der Retroscan-Hits-Tabelle
Retroscan-Hits-Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Domain | Phishing-Domain in der ursprünglichen Mail |
| Feed | Phishing-Feed, der die Domain jetzt listet |
| Absender | Ursprünglicher Absender der Mail |
| Betreff | Ursprünglicher Betreff |
| Gescannt am | Zeitpunkt des Retroscan-Durchlaufs |
Retroscan-Ausschlüsse¶
Domains, die vom Retroscan grundsätzlich ignoriert werden sollen (z. B. große CDN-Anbieter), können unter dem Tab Retroscan-Ausschlüsse verwaltet werden.
- Suffix-Matching: Ein Eintrag
cloudinary.comschließt automatisch alle Subdomains (img.cloudinary.com,res.cloudinary.com…) aus — es muss kein Wildcard-Pattern eingetragen werden. - Einträge können jederzeit entfernt werden, woraufhin der Retroscan diese Domain wieder prüft.
Empfohlene Reaktion¶
Bei einem Retroscan-Treffer: 1. Ursprüngliche Mail identifizieren (via Mail-Trace) 2. Empfänger informieren, den Link nicht zu öffnen 3. IOC-Eintrag für die Domain anlegen (über IOC-Monitor → manuell hinzufügen)
System-Alerts¶
Der Tab System-Alerts zeigt cluster-aggregierte Warnmeldungen des Betriebssystems und der nmg-Komponenten.
Alert-Kategorien¶
| Kategorie | Auslöser |
|---|---|
| Disk | Festplattenauslastung über Schwellenwert |
| Zertifikat | TLS-Zertifikat läuft in weniger als 30 Tagen ab |
| Queue | Postfix-Queue-Tiefe über Schwellenwert |
| Cluster | Node nicht erreichbar oder Versions-Divergenz |
| ClamAV | Signatur-Update fehlgeschlagen oder veraltet |
| Retroscan | Retroscan-Job ist fehlgeschlagen |
| Outbound | Ausgehender Spam-Burst erkannt |
Alert-Tabelle¶
Jeder Alert zeigt: Kategorie, betroffene Node, Beschreibung, Zeitstempel und aufklappbare Detail-Informationen.
Alerts bestätigen¶
Alerts können über den Bestätigen-Button quittiert werden (Soft-Delete). Bestätigte Alerts verschwinden aus der Ansicht, werden aber intern für 24 Stunden als "cooldown" behalten — innerhalb dieses Zeitraums wird kein erneuter Alert gleicher Kategorie und Node erzeugt, um Alarm-Flooding zu verhindern.