Re: "IT-Sicherheit": löschen von Received-Headern

[Walter H.]

Hallo,

On 01.04.2024 20:28, Martin Steigerwald via postfix-users wrote:
> Hallo Jörg, hallo,
>
> Joerg Hartmann via postfix-users - 01.04.24, 18:21:20 CEST:
>> Jemand, der besser als ich bezahlt wird...,  hat nun die Idee
>> entwickelt, die Received-Header von versendeten Mails an den
>> Außengrenzen unseres Hoheitsgebietes aus den Mails zu löschen.
>> Als MTA-Hirte finde ich das schon recht gruselig, allerdings sollte es
>> mMn keine technischen (Transport)-Probleme verursachen.
>> DKIM kann man ja mitteilen, welche Header ein-/oder ausgeschlossen
>> werden sollen.
> Ich hab da ein paar Kleinigkeiten seit knapp 6 Jahren im Einsatz:
>
> % cat header_checks_outgoing
> /^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 127.0.0.1 (localhost [127.0.0.1])$2
> /^\s*User-Agent/        IGNORE
> /^\s*X-Enigmail/        IGNORE
> /^\s*X-Mailer/          IGNORE
> /^\s*X-Originating-IP/  IGNORE

das mit den Received kann problematisch sein

falls man mehrere MTAs in der Kette hat, dann am vorletzten alle mit 
IGNORE entfernen,
und am letzten MTA in der Kette hat man dann nur noch EINEN Eintrag mit 
localhost;

wenn Du willst kannst Du noch folgendes hinzufügen

/^organi(s|z)ation:[[:space:]].*$/   IGNORE

etwaige Einträge, welche von ausgehenden Antiviren hinzugefügt werden,
würde ich ebenfalls eliminieren, bevor die Mail das Haus verläßt;

> % grep -B 1 header_checks_outgoing master.cf
> subcleanup unix n       -       -       -       0      cleanup
>                                                         -o header_checks=pcre:/etc/postfix/header_checks_outgoing#
>
> Allerdings verschleiert das meiner Erinnerung nach nur den Client, nicht
> ein gesamtes internes Netzwerk mit mehreren Hops.

das hängt davon ab, an welchem MTA man das macht; macht man das am 
letzten der Kette über den man die Gewalt hat,
dann verschleiert der am Beispiel der 'Received'-Einträge, alle bis 
dahin aufgelaufenen;

wir hatten lange Zeit in der Arbeit: folgende Regel

/^received:.*$/  REPLACE Received: <hidden>

die Betonung liegt auf 'hatten', denn dies unterdrückt auch die 
Akzeptanz beim Empfänger;
seit ein paar Jahren wird derartiges nicht mehr angetastet;

erwähnt sei hier auch folgendes:

die Message-Id - ebenfalls ein Feld im Mail-Header, kann je nachdem auch 
mit einem lokalen DNS/Host-Namen generiert sein,
und hier sollte man dann aufpassen, sodaß dann die durch Manipulation 
der Received-Einträge dazu nicht im Widerspruch stehen;

Grüße,

Walter H.


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3550 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20240406/0dd09dd5/attachment.p7s>