[postfix-users] Erkennen von Absenderfälschungen bei Phishing Mails

[Florian Streibelt via postfix-users]

* Stephan Jacob via postfix-users <stephan.jacob at ovgu.de>:
> 
> Das Ganze funktioniert auch sehr gut. Aber nun mein Problem:

Jein, ich habe das für meine privaten und 2-3 weitere Domains auch am start,
aber bei allem mit externen 'Kunden' wird es massive Probleme geben.

Ich würde dazu übergehen den Spamscore solcher mails hochzudrehen, viel mehr
kann man nicht machen.

> Bei Weiterleitungen von bspw. GMX konnte ich das Problem in einem ersten
> Test nicht feststellen, da bei GMX anscheinend ein neuer Envelope gesetzt
> wird, wo der Absender für die weitergeleitete Mail die GMX-Mail-Adresse, an
> welche gesendet wurde, ist. Da greift meine Regel korrekter Weise nicht, da
> es eine externe Domain im Absender ist und eine externe Client-IP vorliegt.

Genau. Meine Mailsysteme machen das auch, das Problem entsteht z.B. beim
Postfix wenn man Weiterleitungen nicht per sieve macht, so eine neue Email
erstellt wird mit neuem Envelope, sondern z.B. per ldap eintrag den Postfix
eine virtual Auflösung machen lässt, die dann eine externe Adresse ergibt.
Postfix schreibt hier auch keinen neuen Envelope.


> Jetzt die Frage, wie kann ich, ohne solche gewollten Mails zu blocken,
> sinnvoll Mails von außen blocken, die unrechtmäßiger Weise eine Adresse aus
> unserer Domain als Absender angeben?

Gar nicht. Es gibt zu viele Dienste, die das benutzen bzw. die politische
Ebene kommt sehr schnell rein. Einige Leute sind leider der Meinung, dass sie
bei irgendwelchen Webmail-Dienstleistern auch andere Absenderadressen
einstellen können und wundern sich dann, wenn die Emails als SPAM
klassifiziert werden. Mir ist bewusst, dass SMTP mal anders geplant war, aber
vor 20 Jahren konnte man auch noch Emails per dialup direkt versenden und es
beschwert sich heute kaum jemand darüber wenn es wegen der Spamabwehr nicht
geht.

Weiterleitungen sind ja das eine Problem, dann kommen noch diverse Grußkarten
und Empfehlungs-webseiten, etc. Ich persönlich mag diese Dienste nicht und bin
der Meinung sie sind kaputt, aber diese Meinung kann ich meinen Nutzern nicht
aufdrücken. Für die 3 Domains wo es bei mir aktiv ist sind die Nutzer der
Meinung dass sie gerne auf derartige Emails verzichten wenn dafür keine Spam
ankommt - da ist das okay.

> Wie macht ihr sowas, bzw. ist es überhaupt sinnvoll und machbar zuverlässig
> solche Mails zu blocken? 
> 

Ich denke Deiner Nutzerbasis dürfte das nur sehr schwer zu erklären sein, es
sei denn man hat die komplette politische Rückendeckung um Weiterleitungen zu
verbieten. Wegen Datenschutz Prism und Co. Ich wage aber zu bezweifeln, dass
man das will, weil Leute dann lieber komplett auf ihren googlemail account
ausweichen werden.


/Florian