Re: "IT-Sicherheit": löschen von Received-Headern

Sat, 06 Apr 2024 01:58:08 -0700 

Hallo,

On 01.04.2024 20:28, Martin Steigerwald via postfix-users wrote:

Hallo Jörg, hallo,

Joerg Hartmann via postfix-users - 01.04.24, 18:21:20 CEST:

Jemand, der besser als ich bezahlt wird...,  hat nun die Idee
entwickelt, die Received-Header von versendeten Mails an den
Außengrenzen unseres Hoheitsgebietes aus den Mails zu löschen.
Als MTA-Hirte finde ich das schon recht gruselig, allerdings sollte es
mMn keine technischen (Transport)-Probleme verursachen.
DKIM kann man ja mitteilen, welche Header ein-/oder ausgeschlossen
werden sollen.

Ich hab da ein paar Kleinigkeiten seit knapp 6 Jahren im Einsatz:

% cat header_checks_outgoing
/^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 127.0.0.1 (localhost [127.0.0.1])$2
/^\s*User-Agent/        IGNORE
/^\s*X-Enigmail/        IGNORE
/^\s*X-Mailer/          IGNORE
/^\s*X-Originating-IP/  IGNORE


das mit den Received kann problematisch sein
falls man mehrere MTAs in der Kette hat, dann am vorletzten alle mit IGNORE entfernen, und am letzten MTA in der Kette hat man dann nur noch EINEN Eintrag mit localhost; 

wenn Du willst kannst Du noch folgendes hinzufügen

/^organi(s|z)ation:[[:space:]].*$/   IGNORE

etwaige Einträge, welche von ausgehenden Antiviren hinzugefügt werden,
würde ich ebenfalls eliminieren, bevor die Mail das Haus verläßt;


% grep -B 1 header_checks_outgoing master.cf
subcleanup unix n       -       -       -       0      cleanup
                                                        -o 
header_checks=pcre:/etc/postfix/header_checks_outgoing#

Allerdings verschleiert das meiner Erinnerung nach nur den Client, nicht
ein gesamtes internes Netzwerk mit mehreren Hops.
das hängt davon ab, an welchem MTA man das macht; macht man das am letzten der Kette über den man die Gewalt hat, dann verschleiert der am Beispiel der 'Received'-Einträge, alle bis dahin aufgelaufenen; 

wir hatten lange Zeit in der Arbeit: folgende Regel

/^received:.*$/  REPLACE Received: <hidden>
die Betonung liegt auf 'hatten', denn dies unterdrückt auch die Akzeptanz beim Empfänger; 
seit ein paar Jahren wird derartiges nicht mehr angetastet;

erwähnt sei hier auch folgendes:
die Message-Id - ebenfalls ein Feld im Mail-Header, kann je nachdem auch mit einem lokalen DNS/Host-Namen generiert sein, und hier sollte man dann aufpassen, sodaß dann die durch Manipulation der Received-Einträge dazu nicht im Widerspruch stehen; 

Grüße,

Walter H.

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature

Antwort per Email an