FROM Adresse in DATA Phase testen.
Walter H.
walter.h at mathemainzel.info
Mi Jun 12 06:06:30 CEST 2019
On Tue, June 11, 2019 23:56, Patrick Ben Koetter wrote:
> * Peter Heitzer <Peter.Heitzer at rz.uni-regensburg.de>:
>> Wir betreiben für unsere Benutzer mehrere MTAs, an denen sie via
>> Submission
>> (Port 587) authentisiert Mail versenden können.
>> Dazu haben wir zusätzlich in main.cf
>>
>> smtpd_sender_login_maps = hash:/etc/postfix/login_maps
>>
>> aktiviert, damit die Benutzer (oder ein Hacker mit deren Credentials)
>> nicht
>> mit beliebigen Absenderadressen Mails verschicken.
>> Leider bezieht sich das nur auf die Sendeadressen, die mit MAIL FROM
>> beim
>> Verbindungsaufbau angegeben werden.
>> Wird in der DATA Phase eine beliebige From: Adresse angegeben, so findet
>> keine
>> Verifikation mehr statt und diese evtl. gefälschte
>> Adresse wird beim Empfänger dann so angezeigt. Lediglich im Mailheader
>> findet
>> sich noch in Return-Path: die echte Absenderadresse,
>> welche aber bei einem Flatforward verloren geht.
>>
>> ONU hat jedenfalls Schwierigkeiten, den originalen Absender sicher zu
>> erkennen.
>>
>> Was uns vorschwebt, wäre eine Methode, die auch als From: Adressen in
>> der DATA
>> Phase nur die zu dem Account zugeordneten Adressen
>> akzeptiert.
>> Ist dies mit Postfix internen Mitteln möglich oder bedarf es dazu
>> externer
>> Erweiterungen, z.B. postfwd?
>
> Sieh Dir mal Christians https://github.com/croessner/vrfydmn an. Der geht
> anders vor, könnte AFAIR zum gewünschen Ergebnis führen.
>
derartiges hat nicht nur bei ausgehenden Mail Servern seinen Sinn, sondern
bei allen:
wenn From Header nicht mit MAIL FROM Envelope korreliert -> REJECT
Mehr Informationen über die Mailingliste postfix-users