[postfix-users] Geht das überhaupt?

tobster at brain-force.ch tobster at brain-force.ch
Do Aug 30 16:58:47 CEST 2012 

Doch leider gibt es die Sender Domains scheinbar schon. @nichtDomain 
soll einfach heissen es ist keine der drei Domains die geprüft 
(geschützt) werden.
Das ist scheinbar das Kriterium bei diesen Phishes: Es wird im From 
Header der Mail behauptet der Sender sei domain-alert (String vor der 
<Adresse>). In der Adresse steht dann aber effektiv nicht @domain 
sondern irgenein Müll :-)

Gruss

tobi

Am 30.08.2012 15:58, schrieb Sascha Reißner:
> Am Donnerstag, den 30.08.2012, 13:51 +0200 schrieb
> tobster at brain-force.ch:
>> Hallo zusammen
>>
>> sitze hier gerade an einem kleinen Problem: wir haben die letzten 
>> Tage
>> massiv Phishings auf Kundenaccounts gehabt (und viele Kuden 
>> sind/waren
>> leider so blöd das PW einzugeben). Die Mails sind eigentlich immer
>> gleich aufgebaut, der Sender steht in dieser Form
>> <<
>> domain-alert <irgendwas at nichtDomain>
>> >>
>> Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden
>> können. Also einen RegExp gemacht der prüft ob domain vorkommt und 
>> wenn
>> ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht 
>> dann
>> wegschmeissen bzw verweigern. Diesen Check habe ich in die
>> smtpd_sender_restrictions mittels sender_access eingebaut
>> Nach einigen Tests scheint es mir als würde Postfix nur alles 
>> zwischen
>> < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält
>> Postfix scheinbar ned, zumindest konnte ich nichts in den Logs 
>> finden.
>> Damit kann ich meinen RegExp natürlich vergessen. gibt es eine
>> Möglichkeit, dass Postfix auch den String vor < und > zur Prüfung
>> bekommt? Oder anders gefragt: was ist denn der beste Weg diese 
>> Phishers
>> möglichst zu verweigern? Es ist mir klar, dass man sicher nicht alle
>> Fälle abfangen kann, aber wenn es nur ein paar wären wäre schon viel
>> getan :-)
>
> Ich nehme mal an, daß es die Domain des senders nicht gibt (weil du
> schreibst '@nichtDomain').
> Da sollte es reichen, wenn du smtpd_sender_restriction erweiterst 
> mit:
>
> reject_unknown_sender_domain
> reject_non_fqdn_sender

Mehr Informationen über die Mailingliste postfix-users