Spoofing erkennen

Walter H. Walter.H at mathemainzel.info
Mo Dez 24 09:39:17 CET 2018


Wennst es so willst, dann sind ja Mailinglisten wie diese das 
Paradebeispiel von Spoofing;
zumal sie im Mail-Envelope deren eigene Mailadresse verwenden müssen,
weil man dies auf Grund des SPF nicht anders zustellen kann, aber der From
im Mail-Header bleibt aufrecht;

wie man es handhabt ist Geschmacksache; wenn man es ohne 
Antispamsoftware mit der Brechstange
macht ist es garantiert resourcenschonender;

von daher kann man das direkt im Postfix rejecten; warum?
Mails wie z.B. die von Maillinglisten gehen durch und alle anderen
haben hier bereits das SPF missachtet, und haben nichts zu suchen;

On 24.12.2018 08:26, Tobi wrote:
> Ich würde auch eher den komplexen Weg via Antispamsoftware gehen und so
> was nicht auf die harte Tour am MTA erledigen.
> Am MTA gleicht das eher dem Schrotflintenansatz ;-) bei der
> Antispamsoftware hingegen eher einem chirugischen Ansatz.
>
> Viele der aktuellen Spams mit einer gespooften Adresse (von der
> Empfängerdomäne) spoofen ja nicht den SMTP Sender selber, sondern nur
> den From Header. Und auch den oft nicht komplett sondern nur den Teil in
> Anführungszeichen vor der eigentlichen Adresse.
> Das lässt sich imho nur in der Antispamsoftware sinnvoll abfangen.
> Leider weiss ich auch nicht mehr genau wie dieses Spamassassin Plugin
> heisst. Aber damit lässt sich der From Header recht einfach in seine
> einzelnen Bestandteile zerlegen und mit entsprechenden Regeln prüfen.
>
> Was es als Alternative für den MTA noch gibt wäre es einen policy Dämon
> [1] zu verwenden. Damit könnte man einen poor-man-spf erstellen. So
> kennt z.B. postomaat [2] mit dem complexrules plugin [3] eine
> Möglichkeit schnell und einfach recht komplexe Policyregeln zu erstellen.
> Das nutze ich für Domänen wo ich keinen SPF setzen kann/will/whatever.
>
> Gruss
>
> tobi
>
>
>
> [1] http://www.postfix.org/SMTPD_POLICY_README.html
> [2] https://github.com/fumail/postomaat
> [3]
> https://github.com/fumail/postomaat/blob/master/conf/complexrules.cf.dist
>

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3491 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20181224/564a1c87/attachment.bin>


Mehr Informationen über die Mailingliste postfix-users