Re: Frage bezüglich der Entfernung eines Headers

Dyo dyonisus at gmx.de
Do Mär 26 10:17:16 CET 2020 

OK, die Beschreibung war wohl etwas grob verfasst.
Ich hole mal etwas weiter aus.

Ich mache mit einem Freund zusammen einen Server, der dort ein
Autoforum, welches mit ein paar dazugehörigen Domains eine IP nutzt.
Genau durch dieses Oldtimerforum kamen schon etliche Angriffsversuche,
weshalb ich dort wirklich nur Httpd, Ftpd und Mails horchen haben will.

Ohne Fail2Ban geht gar nichts mehr, während ich mit den Vorbereitungen
des Serverumzugs beschäftigt war (wir hatten noch Debian7 laufen), wurde
3 Tage lang alle 10 Sekunden versucht den Mailserver zu nutzen.
Wenn man einen existierenden User (admin at auto-forum.tld) gefunden hatte,
was ja eine übliche Adresse ist, wurde einen Tag lang versucht sich zu
verbinden....  Jetzt ist nach 3 Versuchen Schluss und Ruhe.

Seine Frau hatte früher einen Webshop, ist in Rente und nutzt die Domain
nun nur noch für Abverkauf des Lagers per Ebay, da liegen also Bilder
drauf. Sie hat eine dedizierte IP.
Eine weitere IP ist shared mit einigen anderen Domains drauf nur für
Http, Ftp  und Mail.
Die vierte IP will ich nur für administrative Zwecke nutzen, also das
ISPConfig, PhpMyAdmin, SSH.
ISPConfig, damit die beiden sich Ihre Dinge wie Mailaliase etc selber
konfigurieren können, ausserdem gestattet es mir, der seit 18 Jahren
nicht mehr beruflich mit Servern zu tun hat, einfacheres Anlegen der
ganzen Benutzer und Domains. Bin nur noch Mausschubser, die Konsole ist
mir nicht fremd, aber es hat sich soviel geändert, ich bin einfach nicht
auf dem aktuellen Stand und habe viel vergessen.

Soll letztlich so sein, dass auf 3 IPs nur Httpd, Ftpd und Mailserver
lauschen. Evtl lege ich auch das Roundcube nur auf die administrative
IP, da überlege ich noch wie sicher das Roundcube selber ist.

Und nun als Beispiel der Header einer Mail, die ich per Client über eine
der Domains versende:
DKim hab ich gekürzt und Hostnamen geändert.

 From - Wed Mar 25 21:17:25 2020
X-Account-Key: account2
X-UIDL: 1N8p02-1jM1m20BeQ-015nen
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <admin at auto-forum.tld>
Received: from mail.auto-forum.tld ([93.157.51.ipB]) by mx-ha.gmx.net
  (mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) id 1Mb9cm-1jo3J13Tk8-00baoy
  for <dyonisus at gmx.de>; Wed, 25 Mar 2020 21:17:19 +0100
Received: from localhost (localhost.localdomain [127.0.0.1])
	by real.hostname-vps.de (Postfix) with ESMTP id 677081A034F
	for <dyonisus at gmx.de>; Wed, 25 Mar 2020 20:17:19 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=auto-forum.tld;
	 h=content-language:content-transfer-encoding:content-type
	:content-type:mime-version:user-agent:date:date:message-id
	:subject:subject:from:from; s=default; t=1585167437; x=
	XXXXXXXXXXXXXXXXXXXXX
X-Virus-Scanned: Debian amavisd-new at real.hostname-vps.de
Received: from real.hostname-vps.de ([127.0.0.1])
	by localhost (real.hostname-vps.de [127.0.0.1]) (amavisd-new, port 10026)
	with ESMTP id M1a5op0eOVlL for <dyonisus at gmx.de>;
	Wed, 25 Mar 2020 20:17:17 +0000 (UTC)
Received: from [192.168.192.46] (ip-176-199-9-54.hsi06.unitymediagroup.de [176.199.9.54])
	(Authenticated sender: admin at auto-forum.tld)
	by real.hostname-vps.de (Postfix) with ESMTPSA id 595571A034E
	for <dyonisus at gmx.de>; Wed, 25 Mar 2020 20:17:16 +0000 (UTC)
To: dyonisus at gmx.de
From: Thomas Schmid <admin at auto-forum.tld>


Beim senden, wir die Domain auto-forum.tld richtig gesetzt und auch
deren IP richtig gesetzt, das erreiche ich über eine transport_map und
Regeln in der master.cf.
Dass dann dort in der Verarbeitungsfolge die locale IP auftaucht ist
normal und mir völlig Latte, weil keiner was damit anfangen kann.
Leider setzt der Server aber innerhalb der Verarbeitungsfolge den echten
Hostname, hier real.hostname-vps.de genannt, dort ein.

Da der reale Hostname aber über die IP auflösbar ist, wird so quasi ein
Zusammenhang zwischen dem Forum und der administrativen IP hergestellt.
Macht also im worst-case einen Hacker, und Angriffsversuche gibt es auf
Autoforen zu hauf, auf den Host der dahinter steht aufmerksam, was ich
nicht will.

Wie bekomme ich die einzelnen Module in der Mailbearbeitung dazu, auch
die richtige Domain zu verwenden. In erster Linie wissen die ja
garnichts von Domains, denn die bekommen ja die Daten lokal weitergereicht.

Ich kann auch nicht einfach den Hostnamen ändern, der wird zwar
ausserhalb dieses VPS nicht gebraucht, aber dann wird ja eine
Verknüpfung gebildet zwischen den Domains die dort liegen, also auch
contraproduktiv was das Verstecken der Daten angeht.

Am Rande, wenn machbar würde ich auch gerne den X-Account-Key und die
X-UIDL loswerden.

Am Anfang wurden die Mails auch von real.hostname-vps.de unter seiner IP
versendet, was natürlich auch bedingte, dass die MX entsprechend gesetzt
waren.
Über eine Map und folgende Zeilen in der master.cf konnte ich das
abändern, so dass auch den DNS-Ptr auf den IPs bleiben konnte, die den
Domains zugeordnet sind.
Funktioniert auch mit shared IPs, da für jede Domain ein Eintrag in der
Map und der master.cf liegt.

master-cf:
auto-forum_smtp    unix    -    -    -    -    -    smtp
     -o smtp_bind_address=93.157.51.ipB
     -o myhostname=mail.auto-forum.tld

modeladen_smtp    unix     -    -    -    -    -    smtp
     -o smtp_bind_address=93.157.51.ipC
     -o myhostname=mail.modeladen.tld

und so weiter.

Wie kann ich die Header der lokalen Dienste-Weiterleitungen entweder
entfernen, oder eben auch anpassen, so dass jede Domain, wie ein völlig
eigenständiger Server im Web aussieht, wenn jemand den Mailheader ansieht.
Vielleicht erscheine ich paranoid, aber dieses Autoforum, ist das
grösste deutschsprachige Forum für diese Marke, es geht sich um
hochpreisige Oldtimer und zu meinem Leidwesen auch die neuen Fahrzeuge
der Marke. Auf jeden Fall bekommen wir Angriffe ohne Ende.
So schlimm, dass wir wieder ganz bewusst auf alte Software (phpbb 2.x
gepatcht und weiterentwickelt) umgestiegen sind, die Leaks alle gestopft
haben und nicht mehr von den üblichen Forenbots ins Visir genommen
werden. Aktuelle Foren werden ja von Bots verfolgt ohne Ende.
Dehalb bin ich so dahinter, dass nirgens auch nur eine geringe Spur auf
den Server schliessen lässt der dahinter steht.
User sind chrooted, ftp-user mail-user, web-user getrennte Usernames mit
anderen Passwörtern etc.


So, genug zugetextet, ich hoffe ihr erkennt nun mein Problem und habt
vielleicht eine Lösung parat.

Mehr Informationen über die Mailingliste postfix-users