Phishing Mails
Robert Schetterer
rs at sys4.de
Sa Jul 1 12:48:39 CEST 2017
Am 01.07.2017 um 12:45 schrieb Robert Schetterer:
> Am 01.07.2017 um 09:55 schrieb Walter H.:
>> On 01.07.2017 09:14, Joachim Fahrner wrote:
>>> Hallo,
>>>
>>> so langsam wird das hier zum (unfreiwilligen) Hobby mit den
>>> Phishing-Mails.
>>>
>>> Ich frage mich gerade, warum das hier nicht abgewiesen wurde:
>>>
>>> Received: from mail.sicherheit.de (unknown [83.169.1.6])
>>>
>>> Die IP hat zwar einen Reverse pointer zu mail.sicherheit.de:
>>>
>>> $ host 83.169.1.6
>>> 6.1.169.83.in-addr.arpa domain name pointer mail.sicherheit.de.
>>>
>>> Aber mail.sicherheit.de hat eine ganz andere IP:
>>>
>>> $ host mail.sicherheit.de
>>> mail.sicherheit.de has address 72.52.10.14
>>>
>> der Klassiker, wobei die Ursache nicht mal zwingend bösartig war;
>> dies geschieht z.B. schon dadurch, wenn jemand mit seiner Domain zu
>> einem anderen Hoster umzieht und
>> beim alten Hoster die reverse DNS Einträge nicht zurückgesetzt/geändert
>> werden ...
>> (wobei das dann irgendwie der Beweis f. IPv4s im Überfluss wäre)
>>
>>> Sowas müsste sich doch blocken lassen. Ist das nicht Bestandteil von
>>> reject_invalid_helo_hostname?
>>
>> damit blockierst nur die Mails, welche beim HELO eine Domain angeben,
>> die es im DNS entweder nicht gibt oder
>> sonst was ...
>> wenn da jemand weil er lustig ist eben mail.sicherheit.de angibt, geht
>> das durch, wie Du ja selbst erkannt hast,
>> gibt es die;
>>
>> interessanter wäre ein Mechanismus, der exakt die Mails durchläßt, wo
>> die IP einen reverse DNS ergibt,
>> welcher tatsächlich ein forward DNS wieder diese IP ergibt ...
>> (damit hast den ganzen Quark, wo jemand irgendwas vorgaukelt, weg)
>>
>>
>
> http://www.postfix.org/postconf.5.html#reject_unknown_reverse_client_hostname
>
> Reject the request when the client IP address has no address->name mapping.
> This is a weaker restriction than the reject_unknown_client_hostname
> feature, which requires not only that the address->name and
> name->address mappings exist, but also that the two mappings reproduce
> the client IP address.
> The unknown_client_reject_code parameter specifies the response code for
> rejected requests (default: 450). The reply is always 450 in case the
> address->name lookup failed due to a temporary problem.
> This feature is available in Postfix 2.3 and later.
>
sorry der isses
http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname
reject_unknown_client_hostname (with Postfix < 2.3: reject_unknown_client)
Reject the request when 1) the client IP address->name mapping
fails, 2) the name->address mapping fails, or 3) the name->address
mapping does not match the client IP address.
This is a stronger restriction than the
reject_unknown_reverse_client_hostname feature, which triggers only
under condition 1) above.
The unknown_client_reject_code parameter specifies the response code
for rejected requests (default: 450). The reply is always 450 in case
the address->name or name->address lookup failed due to a temporary
problem.
schon ewig nimmer nachgesehen
>
>
> das gibt real aber zuviel Aerger, wenn man den anwenden will sollte man
> vorfiltern, also nicht per se auf alles anwenden !
>
>
> Best Regards
> MfG Robert Schetterer
>
Best Regards
MfG Robert Schetterer
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users