Re: Spoofing erkennen
Hey, es gibt den harten Weg im Postfix oder den komplexen und variablen im Spamassassin. Im Postfix kannst du den envelope-from bzw. den header-from hart prüfen und rejecten. Mit 2-99 Regeln im Spamassassin kannst du das ganze entsprechend variabler gestalten. Du kannst einfach auf header-from, received, spf, dkim, ... prüfen und dann mit entsprechenden Meta-Rules hohe scores setzen. Das neue FNAME Plugin (oder so ähnlich) in 3.4.2 kann dir da sicher auch gute Dienste leisten. VG Carsten On 05.12.18 17:05, Marc Risse wrote: > Hallo Liste, > > das BSI empfiehlt ja folgendes: > > "E-Mail-Server sollten von extern eingelieferte E-Mails mit > Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch > im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne > verschieben oder mindestens im Betreff deutlich markieren." > > Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen > und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM > haben wir bisher nur testweise implementiert. Ich habe versucht ein > Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen > gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert. > Gibt es vielleicht Scripte von fähigen Entwicklern dazu? > Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen > geöffnet. > Gibt es da nicht etwas von Ratiopha... ähh Amavis? > > Viele Grüße > Marc >
AW: Spoofing erkennen
Im Auftrag von Marc Risse > > Hallo Liste, > > das BSI empfiehlt ja folgendes: > > "E-Mail-Server sollten von extern eingelieferte E-Mails mit > Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch > im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne > verschieben oder mindestens im Betreff deutlich markieren." Was die so alles empfehlen . Sowas wird nicht angenommen > > Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen > und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM SPF ist für Fremde das die genau prüfen können ob Mail vom richtigen Absender kommen (Weiterleitungen usw. nicht unproblematisch) Da "EIGENE" Domains niemals von fremden Mailserver kommen können ... Kann auf Port 25 nie die eigene Domain im Absender auftauchen z.B. check_sender_access proxy:mysql:/etc/postfix/sql/mysql-domains.cf ... query = SELECT 'reject do not use our domain, you are not allowed' FROM domain WHERE domain_name = '%s' Also immer dann wenn eigene Domain im Absender gibt es eins uffe Nuss Kannst du auch mit Hash Tabelle machen Domainname.de reject do not use our domain, you are not allowed Domainname2.com reject do not use our domain, you are not allowed Ansonsten gäbe es da auch noch die Headerchecks ; gleiches Prinzip, müssen nur alle "FROM, Reply ..." einzeln geprüft werden Regex ist hier sehr mächtig > haben wir bisher nur testweise implementiert. Ich habe versucht ein > Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen > gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert. Warum einfach wenns auch . KISS Prinzip :-) > Gibt es vielleicht Scripte von fähigen Entwicklern dazu? Klar Wietse Venema, der kann sowas :-) > Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die > Augen > geöffnet. > Gibt es da nicht etwas von Ratiopha... ähh Amavis? KISS-Prinzip :-) Nicht 300 KM fahren für eine einfache Persoausweis kontrolle. > > Viele Grüße > Marc Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045
Re: Spoofing erkennen
Moin, On Mi, 05 Dez 2018 at 17:05:27 +0100, Marc Risse wrote: > Hallo Liste, > > das BSI empfiehlt ja folgendes: > > "E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen > der eigenen Organisation (sowohl im Envelope- als auch im From-Header inkl. > Prüfung des Anzeigenamens) ablehnen, in Quarantäne verschieben oder > mindestens im Betreff deutlich markieren." > > Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen und Plain postfix für den Envelope zum Beispiel so: sender_blacklist: # the string mx02 helps me to interprete error reports people send me... f-streibelt.de 504 5.5.2 mx02: You are not a valid MX for the sender domain. main.cf: smtpd_restriction_classes = allow_external_forwards smtpd_sender_restrictions =permit_mynetworks, check_client_access hash:/etc/postfix/relaxed_senders, check_sender_access hash:/etc/postfix/sender_blacklist, ... allow_external_forwards = permit_mynetworks, reject_non_fqdn_sender, check_helo_access hash:/etc/postfix/whitelist_broken_hostnames, reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_hostname, reject_unknown_sender_domain, permit in der relaxed_senders kann man dann ggf. whitelisten: mail.tu-berlin.de allow_external_forwards mailbox.tu-berlin.deallow_external_forwards Das fällt Dir halt auf die Füße, wenn Leute mailweiterleitungen haben die als alias konfiguriert sind. Dann kommt eine Email von aussen zurück mit dem Envelope des Absenders innen und produziert ein Bounce. Ausserdem fängt es nicht das From im Body der Mail. Ich habe es auf Wunsch einiger Kunden aktiv, deren Spamlast damit deutlich anch unten gegangen ist, und die meinen dass sie auch keine 'Grußkarten' bekommen brauchen. Einige der 'Diese Webseite empfehlen' und der 'Schicken Sie ihren Freunden eine Grußkarte' setzen den Envelope nämlich auch sehr kreativ auf das From des vermeintlichen Absenders... Grüße, Florian
Spoofing erkennen
Hallo Liste, das BSI empfiehlt ja folgendes: "E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne verschieben oder mindestens im Betreff deutlich markieren." Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM haben wir bisher nur testweise implementiert. Ich habe versucht ein Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert. Gibt es vielleicht Scripte von fähigen Entwicklern dazu? Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen geöffnet. Gibt es da nicht etwas von Ratiopha... ähh Amavis? Viele Grüße Marc