AW: Spoofing erkennen

Uwe Drießen driessen at fblan.de
Mi Dez 5 17:41:32 CET 2018 

Im Auftrag von Marc Risse
> 
> Hallo Liste,
> 
> das BSI empfiehlt ja folgendes:
> 
> "E-Mail-Server sollten von extern eingelieferte E-Mails mit
> Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch
> im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne
> verschieben oder mindestens im Betreff deutlich markieren."

Was die so alles empfehlen .....
Sowas wird nicht angenommen 

> 
> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen
> und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM

SPF ist für Fremde das die genau prüfen können ob Mail vom richtigen Absender kommen 
(Weiterleitungen usw. nicht unproblematisch)

Da "EIGENE" Domains niemals von fremden Mailserver kommen können ...

Kann auf Port 25 nie die eigene Domain im Absender auftauchen 
z.B. 

check_sender_access      proxy:mysql:/etc/postfix/sql/mysql-domains.cf  

... query = SELECT 'reject do not use our domain, you are not allowed'  FROM domain WHERE domain_name = '%s'
Also immer dann wenn eigene Domain im Absender gibt es eins uffe Nuss 

Kannst du auch mit Hash Tabelle machen 

Domainname.de           reject do not use our domain, you are not allowed  
Domainname2.com     reject do not use our domain, you are not allowed  

Ansonsten gäbe es da auch noch die Headerchecks ; gleiches Prinzip, müssen nur alle "FROM, Reply ..." einzeln geprüft werden 
Regex ist hier sehr mächtig  


> haben wir bisher nur testweise implementiert. Ich habe versucht ein
> Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen
> gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert.

Warum einfach wenns auch .....

KISS Prinzip :-) 

> Gibt es vielleicht Scripte von fähigen Entwicklern dazu?

Klar Wietse Venema, der kann sowas  :-) 

> Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die
> Augen
> geöffnet.
> Gibt es da nicht etwas von Ratiopha... ähh Amavis?

KISS-Prinzip :-) 
Nicht 300 KM fahren für eine einfache Persoausweis kontrolle.

> 
> Viele Grüße
> Marc



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

Mehr Informationen über die Mailingliste postfix-users