Phishing Mails

Walter H. Walter.H at mathemainzel.info
Sa Jul 1 13:34:51 CEST 2017 

On 01.07.2017 12:48, Robert Schetterer wrote:
> Am 01.07.2017 um 12:45 schrieb Robert Schetterer:
>> Am 01.07.2017 um 09:55 schrieb Walter H.:
>>> On 01.07.2017 09:14, Joachim Fahrner wrote:
>>>> Hallo,
>>>>
>>>> so langsam wird das hier zum (unfreiwilligen) Hobby mit den
>>>> Phishing-Mails.
>>>>
>>>> Ich frage mich gerade, warum das hier nicht abgewiesen wurde:
>>>>
>>>> Received: from mail.sicherheit.de (unknown [83.169.1.6])
>>>>
>>>> Die IP hat zwar einen Reverse pointer zu mail.sicherheit.de:
>>>>
>>>> $ host 83.169.1.6
>>>> 6.1.169.83.in-addr.arpa domain name pointer mail.sicherheit.de.
>>>>
>>>> Aber mail.sicherheit.de hat eine ganz andere IP:
>>>>
>>>> $ host mail.sicherheit.de
>>>> mail.sicherheit.de has address 72.52.10.14
>>>>
>>> der Klassiker, wobei die Ursache nicht mal zwingend bösartig war;
>>> dies geschieht z.B. schon dadurch, wenn jemand mit seiner Domain zu
>>> einem anderen Hoster umzieht und
>>> beim alten Hoster die reverse DNS Einträge nicht zurückgesetzt/geändert
>>> werden ...
>>> (wobei das dann irgendwie der Beweis f. IPv4s im Überfluss wäre)
>>>
>>>> Sowas müsste sich doch blocken lassen. Ist das nicht Bestandteil von
>>>> reject_invalid_helo_hostname?
>>> damit blockierst nur die Mails, welche beim HELO eine Domain angeben,
>>> die es im DNS entweder nicht gibt oder
>>> sonst was ...
>>> wenn da jemand weil er lustig ist eben   mail.sicherheit.de angibt, geht
>>> das durch, wie Du ja selbst erkannt hast,
>>> gibt es die;
>>>
>>> interessanter wäre ein Mechanismus, der exakt die Mails durchläßt, wo
>>> die IP einen reverse DNS ergibt,
>>> welcher tatsächlich ein forward DNS wieder diese IP ergibt ...
>>> (damit hast den ganzen Quark, wo jemand irgendwas vorgaukelt, weg)
>>>
>>>
>>   http://www.postfix.org/postconf.5.html#reject_unknown_reverse_client_hostname
>>
>> Reject the request when the client IP address has no address->name mapping.
>> This is a weaker restriction than the reject_unknown_client_hostname
>> feature, which requires not only that the address->name and
>> name->address mappings exist, but also that the two mappings reproduce
>> the client IP address.
>> The unknown_client_reject_code parameter specifies the response code for
>> rejected requests (default: 450). The reply is always 450 in case the
>> address->name lookup failed due to a temporary problem.
>> This feature is available in Postfix 2.3 and later.
>>
> sorry der isses
>
> http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname
>
>
> reject_unknown_client_hostname (with Postfix<  2.3: reject_unknown_client)
>      Reject the request when 1) the client IP address->name mapping
> fails, 2) the name->address mapping fails, or 3) the name->address
> mapping does not match the client IP address.
>      This is a stronger restriction than the
> reject_unknown_reverse_client_hostname feature, which triggers only
> under condition 1) above.
>      The unknown_client_reject_code parameter specifies the response code
> for rejected requests (default: 450). The reply is always 450 in case
> the address->name or name->address lookup failed due to a temporary
> problem.
>
> schon ewig nimmer nachgesehen
>> das gibt real aber zuviel Aerger, wenn man den anwenden will sollte man
>> vorfiltern, also nicht per se auf alles anwenden !
>>

ich hab bei meinem der im Internet als mein SMTP (mit TLS Port 587) und 
als MX (Port 25) f. die selbe Domain fungiert folgendes

smtpd_delay_reject = yes

smtpd_helo_required = yes

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, 
reject_unknown_hostname, reject_non_fqdn_helo_hostname

smtpd_client_restrictions = permit_mynetworks, 
reject_unknown_client_hostname
smtpd_etrn_restrictions = permit_mynetworks, reject

smtpd_sender_restrictions = check_sender_mx_access 
cidr:/etc/postfix/drop.cidr, check_sender_ns_access 
cidr:/etc/postfix/drop.cidr, reject_non_fqdn_sender, 
reject_unknown_sender_domain

smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, reject_non_fqdn_recipient, 
reject_unauth_destination, reject_unknown_recipient_domain, 
check_recipient_access hash:/etc/postfix/recipient_access, reject

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, 
reject_unauth_destination, reject_unknown_recipient_domain

in /etc/postfix/main.cf

mit

wget -q -nd --output-document=- http://www.spamhaus.org/drop/drop.lasso 
|awk '/; SBL/ { printf( "%s\tREJECT %s\n", $1, $3 ) }' 
 >/etc/postfix/drop.cidr

aktualiser ich von Zeit zu Zeit /etc/postfix/drop.cidr

wobei vieles kommt gleich gar nicht zum Tragen, weil ich im Falle, daß 
da wirres Zeug per SSH od. HTTP(S) daherkommt (per logwatch mitgeteilt),
ich den gesamten Range der zu einzelnen IPs gehört z.B.
so
-I INPUT -i eth0 -s 1.171.0.0/16 -j DROP
in der IPtables Firewall blockier



-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3491 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20170701/b78a0b63/attachment-0001.bin>

Mehr Informationen über die Mailingliste postfix-users