[postfix-users] Erkennen von Absenderfälschungen bei Phishing Mails

Stephan Jacob via postfix-users postfix-users at de.postfix.org
Mo Sep 2 09:28:03 CEST 2013 

Hallo Liebe Postfix-Gemeinde,

ich habe folgendes Problem/Vorhaben:
Im Zuge von Phishing-Bekämpfung wollen wir Mails, die einen Absender aus
unseren Domains haben aber nicht von Clients aus unserem Netzwerk stammen
ablehnen. Ziel ist es Phishing-Nachrichten mit gefälschten Absender zu
erkennen. (Wir haben ein extra SMTP-Relay, über welches die Leute normal
auch von extern über Authentifizierung senden können und wo diese Regel
nicht greift). 

Das ganze habe ich wie folgt umgesetzt: 
Es gibt eine check_sender_access Regel, die, wenn eine Absender Adresse aus
unserer Domain ist, eine eigene Restriction Class aufruft. In dieser Class
ist eine client_access_restriction angelegt, die immer dann rejectet, wenn
die IP nicht aus unserem Netz stammt.

Das Ganze funktioniert auch sehr gut. Aber nun mein Problem:
Wir haben bei uns Organisationen (z.B. der Studentenrat) die eine eigene
Domain haben und diese auch extern hosten lassen. Dort haben die Leute auch
eine Mail-Adresse in dieser Domain bei dem externen Anbieter. Da den Leuten
es aber zu aufwendig ist diese Postfächer abzurufen haben einige eine
Weiterleitung auf ihr Uni Magdeburg Adresse angelegt (die Mitglieder dieser
Organisationen sind auch Mitglieder unserer Uni). 
Wenn jetzt jemand von der Uni Magdeburg eine Mail an die Adresse des
Studentenrates sendet, dann geht diese raus zu dem externen Dienstleister
und wird von dort wieder rein zu uns gesendet (Weiterleitung). Dabei bleibt
der Absender erhalten (sprich eine Uni-Magdeburg Adresse ist Absender) aber
der Client meldet sich natürlich mit einer IP die nicht in unserem Netzwerk
liegt (die IP des externen Hosters). Das heißt entsprechend meiner
Restriction würde die Mail abgelehnt werden, da der Absender von intern
kommt und die Mail von einem externen Client. Das soll sie aber nicht, da es
eine "legale" Mail ist.

Bei Weiterleitungen von bspw. GMX konnte ich das Problem in einem ersten
Test nicht feststellen, da bei GMX anscheinend ein neuer Envelope gesetzt
wird, wo der Absender für die weitergeleitete Mail die GMX-Mail-Adresse, an
welche gesendet wurde, ist. Da greift meine Regel korrekter Weise nicht, da
es eine externe Domain im Absender ist und eine externe Client-IP vorliegt.

Ich hoffe ich konnte die Situation und das Problem einigermaßen beschreiben.

Jetzt die Frage, wie kann ich, ohne solche gewollten Mails zu blocken,
sinnvoll Mails von außen blocken, die unrechtmäßiger Weise eine Adresse aus
unserer Domain als Absender angeben?
Wie macht ihr sowas, bzw. ist es überhaupt sinnvoll und machbar zuverlässig
solche Mails zu blocken? 

Ich würde mich über ein paar Denkanstöße sehr freuen.

Viele Grüße aus Magdeburg
Stephan


Stephan Jacob

Otto-von-Guericke Universität Magdeburg
Universitätsrechenzentrum (URZ)

Universitätsplatz 2
Gebäude 26 - 035

39106 Magdeburg

Tel.: 0391-67-58572 
Fax:  0391-67-11134

Mehr Informationen über die Mailingliste postfix-users