Spoofing erkennen

Florian Streibelt postfix at f-streibelt.de
Mi Dez 5 17:37:58 CET 2018


Moin,

On Mi, 05 Dez 2018 at 17:05:27 +0100, Marc Risse wrote:

> Hallo Liste,
> 
> das BSI empfiehlt ja folgendes:
> 
> "E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen
> der eigenen Organisation (sowohl im Envelope- als auch im From-Header inkl.
> Prüfung des Anzeigenamens) ablehnen, in Quarantäne verschieben oder
> mindestens im Betreff deutlich markieren."
> 
> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen und


Plain postfix für den Envelope zum Beispiel so:

sender_blacklist:

# the string mx02 helps me to interprete error reports people send me...
f-streibelt.de     504 5.5.2 mx02: You are not a valid MX for the sender domain.


main.cf:

smtpd_restriction_classes = allow_external_forwards

smtpd_sender_restrictions =    permit_mynetworks,
                               check_client_access hash:/etc/postfix/relaxed_senders,
                               check_sender_access hash:/etc/postfix/sender_blacklist,
                               ...

allow_external_forwards =      permit_mynetworks,
                               reject_non_fqdn_sender,
                               check_helo_access hash:/etc/postfix/whitelist_broken_hostnames,
                               reject_non_fqdn_hostname,
                               reject_invalid_hostname,
                               reject_unknown_hostname,
                               reject_unknown_sender_domain,
                               permit


in der relaxed_senders kann man dann ggf. whitelisten:

mail.tu-berlin.de       allow_external_forwards
mailbox.tu-berlin.de    allow_external_forwards





Das fällt Dir halt auf die Füße, wenn Leute mailweiterleitungen haben die als
alias konfiguriert sind. Dann kommt eine Email von aussen zurück mit dem
Envelope des Absenders innen und produziert ein Bounce.

Ausserdem fängt es nicht das From im Body der Mail.

Ich habe es auf Wunsch einiger Kunden aktiv, deren Spamlast damit deutlich
anch unten gegangen ist, und die meinen dass sie auch keine 'Grußkarten'
bekommen brauchen. Einige der 'Diese Webseite empfehlen' und der 'Schicken Sie
ihren Freunden eine Grußkarte' setzen den Envelope nämlich auch sehr kreativ
auf das From des vermeintlichen Absenders...

Grüße,
  Florian


Mehr Informationen über die Mailingliste postfix-users