Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Robert Schetterer rs at sys4.de
Do Feb 25 17:19:16 CET 2016 

Am 25.02.2016 um 08:09 schrieb Uwe Drießen:
> Im Auftrag von Andreas Wass Glas Gasperlmair
>>
>> Hallo Uwe!
>>
>> Vielen Dank für deine Recherchen und wie du schon schreibst, müsste es
>> mit reject_unauthenticated_sender_login_mismatch funktionieren und
>> wäre
>> vermutlich die sauberere Lösung.
>>
>> Da der Aufwand jedoch erheblich größer ist (map erstellen, ständig
>> ändern) bleibe ich lieber bei der Möglichkeit meine eigene Domain in der
>> rhsbl_sender_exceptions einfach mit einem REJECT zu versehen. (wie Marco
>> Dickert schrieb)
>> Einmal gemacht, kein weiterer Wartungsaufwand mehr.
>>
> 
> Ist kein Verwaltungsaufwand da die restriktion auf die eh schon vorhandenen Maps zugreift 
> 
> Oder/und auch 
> 
> smtpd_reject_unlisted_sender (default: no)
> 
>     Request that the Postfix SMTP server rejects mail from unknown sender addresses, even when no explicit reject_unlisted_sender access restriction is specified. This can slow down an explosion of forged mail from worms or viruses.
> 
>     An address is always considered "known" when it matches a virtual(5) alias or a canonical(5) mapping.
> 
>         The sender domain matches $mydestination, $inet_interfaces or $proxy_interfaces, but the sender is not listed in $local_recipient_maps, and $local_recipient_maps is not null.
>         The sender domain matches $virtual_alias_domains but the sender is not listed in $virtual_alias_maps.
>         The sender domain matches $virtual_mailbox_domains but the sender is not listed in $virtual_mailbox_maps, and $virtual_mailbox_maps is not null.
>         The sender domain matches $relay_domains but the sender is not listed in $relay_recipient_maps, and $relay_recipient_maps is not null. 
> 
>     This feature is available in Postfix 2.1 and later.
> 
> 
> P.S. ich hatte da scheinbar auch noch eine Lücke seit Trennung 25 und 587 in meinem Setup drinne und wegen LOCKY bin ich gezwungen die Lücke zuzumachen 
> 
> :wegen Locky in amavis
> 
> #Sperre wegen Lockyvirus
>   qr'\.[^./]*\.(doc|dot|docx|docm|dotx|dotm|docb|xls|xlt|xlm|xlsb|xla|xlam|xll|xlw|ppt|pot|pps|pptx|pptm|potx|potm|ppam|ppsx|ppsm|sldx|sldm|pub)\.?$'i,
>   qr'^application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document$'i,
>   qr'^application/vnd.openxmlformats-officedocument.wordprocessingml.template$'i,
>   qr'^application/vnd.ms-word.document.macroEnabled.12$'i,
>   qr'^application/vnd.ms-word.template.macroEnabled.12$'i,
> 
>   qr'^application/vnd.ms-excel$'i,
>   qr'^application/vnd.openxmlformats-officedocument.spreadsheetml.sheet$'i,
>   qr'^application/vnd.openxmlformats-officedocument.spreadsheetml.template$'i,
>   qr'^application/vnd.ms-excel.sheet.macroEnabled.12$'i,
>   qr'^application/vnd.ms-excel.template.macroEnabled.12$'i,
>   qr'^application/vnd.ms-excel.addin.macroEnabled.12$'i,
>   qr'^application/vnd.ms-excel.sheet.binary.macroEnabled.12$'i,
> #Sperre wegen Lockyvirus ende
> 
> Keine Ahnung ob es tut aber es verhindert zumindest alle z.Z. bekannten infizierten Dateitypen 
> 
> Mit freundlichen Grüßen
> 
> Uwe Drießen
> --
> Software & Computer
> 
> Netzwerke, Server. 
> Wir vernetzen Sie und Ihre Rechner !
> 
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
> 
> Tel.: 06708660045 
> 
> 
> 

wer alle office anhaenge per se blocked wird mit so manchen Kunden
Aerger bekommen ( executables sollten default ausreichen ), denn meiner
Erfahrung nach verstehen die meisten Absender nicht die
Ablehnungsgruende, Quarantaine ist auch eine Moeglichkeit oder
intelligent filtern ( was ein user zur not auch selber machen kann )

man koennte auch das hier "verfeinern" ( zusaetzlich zu anderen
Moeglichkeiten ),

https://github.com/croessner/vrfydmn

Postfilx milter that rejects/fixes manipulated From:-header

und/oder mit sieve filtern

https://sys4.de/de/blog/2016/01/22/content-blocking-mit-sieve/

steht hier als Beispiel

siehe

https://tools.ietf.org/html/rfc5703


9.2.  Example 2

   Consider a Sieve script to warn the user about some of the executable
   attachment types.  (The actual list of executable types and
   extensions is considerably longer and constantly changing.  The tests
   shown here are an example only.)  Such a script might look like this:

   require [ "foreverypart", "mime", "enclose" ];

   foreverypart
   {
     if header :mime :param "filename"
        :matches ["Content-Type", "Content-Disposition"]
          ["*.com", "*.exe", "*.vbs", "*.scr",
           "*.pif", "*.hta", "*.bat", "*.zip" ]
     {
       # these attachment types are executable
       enclose :subject "Warning" :text
   WARNING! The enclosed message contains executable attachments.
   These attachment types may contain a computer virus program
   that can infect your computer and potentially damage your data.

   Before clicking on these message attachments, you should verify
   with the sender that this message was sent by them and not a
   computer virus.

das heisst man koennte filtern nach Anhaengen, eine neue Warnungs Mail
erstellen die orig Mail dort anhaengen und in einen besonderen Imap
Ordner wegsortieren.

Als zusaetzlicher Filter waere ein lookup zum Adressbuch als liste noch
gut, das gibt es als Sieve Entwurf

https://tools.ietf.org/html/rfc6134

Syntax of an Externally Stored List Name
...

 Intended usage:  "addrbook" URNs are used for designating references
   to address books.  An address book is a concept used by different
   applications (such as Sieve interpreters) for describing a list of
   named entries, and may be translated into other types of address
   books, such as LDAP groups.  Address books may be private or shared;
   they may be personal, organizational, or perhaps even "crowdsourced".

...

   A name of an externally stored list is always an absolute URI
   [RFC3986].  Implementations might find URIs such as LDAP [RFC4510],
   CardDAV [CardDAV], or "tag" [RFC4151] to be useful for naming
   external lists.

   The "tag" URI scheme [RFC4151] can be used to represent opaque, but
   more user-friendly identifiers.  Resolution of such identifiers is
   going to be implementation specific and it can help in hiding the

http://pigeonhole.dovecot.org/

extlists  (RFC 6134): planned.

an so ein Liste kann aber auch gelangen indem man mitspeichert an wen
gesendet wurde , was evtl aber nicht unproblematisch ist und "boese
Anhaenge konnen natuerlich auch von ein bekannten Kontakt kommen.

Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users