On 01.07.2017 12:48, Robert Schetterer wrote:
Am 01.07.2017 um 12:45 schrieb Robert Schetterer:Am 01.07.2017 um 09:55 schrieb Walter H.:On 01.07.2017 09:14, Joachim Fahrner wrote:Hallo,so langsam wird das hier zum (unfreiwilligen) Hobby mit den Phishing-Mails. Ich frage mich gerade, warum das hier nicht abgewiesen wurde: Received: from mail.sicherheit.de (unknown [83.169.1.6]) Die IP hat zwar einen Reverse pointer zu mail.sicherheit.de: $ host 83.169.1.6 6.1.169.83.in-addr.arpa domain name pointer mail.sicherheit.de. Aber mail.sicherheit.de hat eine ganz andere IP: $ host mail.sicherheit.de mail.sicherheit.de has address 72.52.10.14der Klassiker, wobei die Ursache nicht mal zwingend bösartig war; dies geschieht z.B. schon dadurch, wenn jemand mit seiner Domain zu einem anderen Hoster umzieht und beim alten Hoster die reverse DNS Einträge nicht zurückgesetzt/geändert werden ... (wobei das dann irgendwie der Beweis f. IPv4s im Überfluss wäre)Sowas müsste sich doch blocken lassen. Ist das nicht Bestandteil von reject_invalid_helo_hostname?damit blockierst nur die Mails, welche beim HELO eine Domain angeben, die es im DNS entweder nicht gibt oder sonst was ... wenn da jemand weil er lustig ist eben mail.sicherheit.de angibt, geht das durch, wie Du ja selbst erkannt hast, gibt es die; interessanter wäre ein Mechanismus, der exakt die Mails durchläßt, wo die IP einen reverse DNS ergibt, welcher tatsächlich ein forward DNS wieder diese IP ergibt ... (damit hast den ganzen Quark, wo jemand irgendwas vorgaukelt, weg)http://www.postfix.org/postconf.5.html#reject_unknown_reverse_client_hostname Reject the request when the client IP address has no address->name mapping. This is a weaker restriction than the reject_unknown_client_hostname feature, which requires not only that the address->name and name->address mappings exist, but also that the two mappings reproduce the client IP address. The unknown_client_reject_code parameter specifies the response code for rejected requests (default: 450). The reply is always 450 in case the address->name lookup failed due to a temporary problem. This feature is available in Postfix 2.3 and later.sorry der isses http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname reject_unknown_client_hostname (with Postfix< 2.3: reject_unknown_client) Reject the request when 1) the client IP address->name mapping fails, 2) the name->address mapping fails, or 3) the name->address mapping does not match the client IP address. This is a stronger restriction than the reject_unknown_reverse_client_hostname feature, which triggers only under condition 1) above. The unknown_client_reject_code parameter specifies the response code for rejected requests (default: 450). The reply is always 450 in case the address->name or name->address lookup failed due to a temporary problem. schon ewig nimmer nachgesehendas gibt real aber zuviel Aerger, wenn man den anwenden will sollte man vorfiltern, also nicht per se auf alles anwenden !
ich hab bei meinem der im Internet als mein SMTP (mit TLS Port 587) und als MX (Port 25) f. die selbe Domain fungiert folgendes
smtpd_delay_reject = yes smtpd_helo_required = yessmtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_hostname, reject_non_fqdn_helo_hostname
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client_hostname
smtpd_etrn_restrictions = permit_mynetworks, rejectsmtpd_sender_restrictions = check_sender_mx_access cidr:/etc/postfix/drop.cidr, check_sender_ns_access cidr:/etc/postfix/drop.cidr, reject_non_fqdn_sender, reject_unknown_sender_domain
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, reject_unknown_recipient_domain, check_recipient_access hash:/etc/postfix/recipient_access, reject
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_recipient_domain
in /etc/postfix/main.cf mitwget -q -nd --output-document=- http://www.spamhaus.org/drop/drop.lasso |awk '/; SBL/ { printf( "%s\tREJECT %s\n", $1, $3 ) }' >/etc/postfix/drop.cidr
aktualiser ich von Zeit zu Zeit /etc/postfix/drop.cidrwobei vieles kommt gleich gar nicht zum Tragen, weil ich im Falle, daß da wirres Zeug per SSH od. HTTP(S) daherkommt (per logwatch mitgeteilt),
ich den gesamten Range der zu einzelnen IPs gehört z.B. so -I INPUT -i eth0 -s 1.171.0.0/16 -j DROP in der IPtables Firewall blockier
smime.p7s
Description: S/MIME Cryptographic Signature
