AW: Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

AW: Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Uwe Drießen
Im Auftrag von Walter H.
> > In den nachfolgenden restrictions für Port 25 steckt das irgendwo drin
>
> damit verhinderst aber keine Mails, welche Deine Domain als Absender
> verwenden, obwohl nicht authorisiert ...

So

Ich war nochmal auf der Suche

reject_unauthenticated_sender_login_mismatch

reject_unauthenticated_sender_login_mismatch
    Enforces the reject_sender_login_mismatch restriction for unauthenticated clients only. This feature is available in Postfix version 2.1 and later.

Damit sollte das ohne klimmzüge tun

:-) ich wusste da gibt es was von ratiofarm  ein Befehl intern und alles ist gut

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Andreas Wass - Glas Gasperlmair
Hallo Uwe!

Vielen Dank für deine Recherchen und wie du schon schreibst, müsste es
mit reject_unauthenticated_sender_login_mismatch funktionieren und wäre
vermutlich die sauberere Lösung.

Da der Aufwand jedoch erheblich größer ist (map erstellen, ständig
ändern) bleibe ich lieber bei der Möglichkeit meine eigene Domain in der
rhsbl_sender_exceptions einfach mit einem REJECT zu versehen. (wie Marco
Dickert schrieb)
Einmal gemacht, kein weiterer Wartungsaufwand mehr.

vg, Andi

Am 25.02.2016 um 07:36 schrieb Uwe Drießen:

> Im Auftrag von Walter H.
>>> In den nachfolgenden restrictions für Port 25 steckt das irgendwo drin
>> damit verhinderst aber keine Mails, welche Deine Domain als Absender
>> verwenden, obwohl nicht authorisiert ...
> So
>
> Ich war nochmal auf der Suche
>
> reject_unauthenticated_sender_login_mismatch
>
> reject_unauthenticated_sender_login_mismatch
>      Enforces the reject_sender_login_mismatch restriction for unauthenticated clients only. This feature is available in Postfix version 2.1 and later.
>
> Damit sollte das ohne klimmzüge tun
>
> :-) ich wusste da gibt es was von ratiofarm  ein Befehl intern und alles ist gut
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
>
>

Reply | Threaded
Open this post in threaded view
|

AW: Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Uwe Drießen
Im Auftrag von Andreas Wass Glas Gasperlmair

>
> Hallo Uwe!
>
> Vielen Dank für deine Recherchen und wie du schon schreibst, müsste es
> mit reject_unauthenticated_sender_login_mismatch funktionieren und
> wäre
> vermutlich die sauberere Lösung.
>
> Da der Aufwand jedoch erheblich größer ist (map erstellen, ständig
> ändern) bleibe ich lieber bei der Möglichkeit meine eigene Domain in der
> rhsbl_sender_exceptions einfach mit einem REJECT zu versehen. (wie Marco
> Dickert schrieb)
> Einmal gemacht, kein weiterer Wartungsaufwand mehr.
>

Ist kein Verwaltungsaufwand da die restriktion auf die eh schon vorhandenen Maps zugreift

Oder/und auch

smtpd_reject_unlisted_sender (default: no)

    Request that the Postfix SMTP server rejects mail from unknown sender addresses, even when no explicit reject_unlisted_sender access restriction is specified. This can slow down an explosion of forged mail from worms or viruses.

    An address is always considered "known" when it matches a virtual(5) alias or a canonical(5) mapping.

        The sender domain matches $mydestination, $inet_interfaces or $proxy_interfaces, but the sender is not listed in $local_recipient_maps, and $local_recipient_maps is not null.
        The sender domain matches $virtual_alias_domains but the sender is not listed in $virtual_alias_maps.
        The sender domain matches $virtual_mailbox_domains but the sender is not listed in $virtual_mailbox_maps, and $virtual_mailbox_maps is not null.
        The sender domain matches $relay_domains but the sender is not listed in $relay_recipient_maps, and $relay_recipient_maps is not null.

    This feature is available in Postfix 2.1 and later.


P.S. ich hatte da scheinbar auch noch eine Lücke seit Trennung 25 und 587 in meinem Setup drinne und wegen LOCKY bin ich gezwungen die Lücke zuzumachen

:wegen Locky in amavis

#Sperre wegen Lockyvirus
  qr'\.[^./]*\.(doc|dot|docx|docm|dotx|dotm|docb|xls|xlt|xlm|xlsb|xla|xlam|xll|xlw|ppt|pot|pps|pptx|pptm|potx|potm|ppam|ppsx|ppsm|sldx|sldm|pub)\.?$'i,
  qr'^application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document$'i,
  qr'^application/vnd.openxmlformats-officedocument.wordprocessingml.template$'i,
  qr'^application/vnd.ms-word.document.macroEnabled.12$'i,
  qr'^application/vnd.ms-word.template.macroEnabled.12$'i,

  qr'^application/vnd.ms-excel$'i,
  qr'^application/vnd.openxmlformats-officedocument.spreadsheetml.sheet$'i,
  qr'^application/vnd.openxmlformats-officedocument.spreadsheetml.template$'i,
  qr'^application/vnd.ms-excel.sheet.macroEnabled.12$'i,
  qr'^application/vnd.ms-excel.template.macroEnabled.12$'i,
  qr'^application/vnd.ms-excel.addin.macroEnabled.12$'i,
  qr'^application/vnd.ms-excel.sheet.binary.macroEnabled.12$'i,
#Sperre wegen Lockyvirus ende

Keine Ahnung ob es tut aber es verhindert zumindest alle z.Z. bekannten infizierten Dateitypen

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

RE: Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Benedikt Schindler
In reply to this post by Andreas Wass - Glas Gasperlmair
Hallo,

ich würde hier wie Walter SPF als Mittel der Wahl nehmen.
Ausserdem ist es doch auch schön, wenn andere Mailserver auch Emails gleich ablehnen können die nicht von eurem Mailsever kommen.

Gruß
Benedikt

-----Original Message-----
From: postfix-users [mailto:postfix-users-bounces+benedikt.schindler=[hidden email]] On Behalf Of Andreas Wass - Glas Gasperlmair
Sent: Donnerstag, 25. Februar 2016 08:01
To: [hidden email]
Subject: Re: Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Hallo Uwe!

Vielen Dank für deine Recherchen und wie du schon schreibst, müsste es mit reject_unauthenticated_sender_login_mismatch funktionieren und wäre vermutlich die sauberere Lösung.

Da der Aufwand jedoch erheblich größer ist (map erstellen, ständig
ändern) bleibe ich lieber bei der Möglichkeit meine eigene Domain in der rhsbl_sender_exceptions einfach mit einem REJECT zu versehen. (wie Marco Dickert schrieb) Einmal gemacht, kein weiterer Wartungsaufwand mehr.

vg, Andi

Am 25.02.2016 um 07:36 schrieb Uwe Drießen:

> Im Auftrag von Walter H.
>>> In den nachfolgenden restrictions für Port 25 steckt das irgendwo
>>> drin
>> damit verhinderst aber keine Mails, welche Deine Domain als Absender
>> verwenden, obwohl nicht authorisiert ...
> So
>
> Ich war nochmal auf der Suche
>
> reject_unauthenticated_sender_login_mismatch
>
> reject_unauthenticated_sender_login_mismatch
>      Enforces the reject_sender_login_mismatch restriction for unauthenticated clients only. This feature is available in Postfix version 2.1 and later.
>
> Damit sollte das ohne klimmzüge tun
>
> :-) ich wusste da gibt es was von ratiofarm  ein Befehl intern und
> alles ist gut
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
>
>

Reply | Threaded
Open this post in threaded view
|

Re: Absender blocken, die unsere Domain als Versender verwenden aber nicht von unserem Mailserver kommt

Robert Schetterer-2
In reply to this post by Uwe Drießen
Am 25.02.2016 um 08:09 schrieb Uwe Drießen:

> Im Auftrag von Andreas Wass Glas Gasperlmair
>>
>> Hallo Uwe!
>>
>> Vielen Dank für deine Recherchen und wie du schon schreibst, müsste es
>> mit reject_unauthenticated_sender_login_mismatch funktionieren und
>> wäre
>> vermutlich die sauberere Lösung.
>>
>> Da der Aufwand jedoch erheblich größer ist (map erstellen, ständig
>> ändern) bleibe ich lieber bei der Möglichkeit meine eigene Domain in der
>> rhsbl_sender_exceptions einfach mit einem REJECT zu versehen. (wie Marco
>> Dickert schrieb)
>> Einmal gemacht, kein weiterer Wartungsaufwand mehr.
>>
>
> Ist kein Verwaltungsaufwand da die restriktion auf die eh schon vorhandenen Maps zugreift
>
> Oder/und auch
>
> smtpd_reject_unlisted_sender (default: no)
>
>     Request that the Postfix SMTP server rejects mail from unknown sender addresses, even when no explicit reject_unlisted_sender access restriction is specified. This can slow down an explosion of forged mail from worms or viruses.
>
>     An address is always considered "known" when it matches a virtual(5) alias or a canonical(5) mapping.
>
>         The sender domain matches $mydestination, $inet_interfaces or $proxy_interfaces, but the sender is not listed in $local_recipient_maps, and $local_recipient_maps is not null.
>         The sender domain matches $virtual_alias_domains but the sender is not listed in $virtual_alias_maps.
>         The sender domain matches $virtual_mailbox_domains but the sender is not listed in $virtual_mailbox_maps, and $virtual_mailbox_maps is not null.
>         The sender domain matches $relay_domains but the sender is not listed in $relay_recipient_maps, and $relay_recipient_maps is not null.
>
>     This feature is available in Postfix 2.1 and later.
>
>
> P.S. ich hatte da scheinbar auch noch eine Lücke seit Trennung 25 und 587 in meinem Setup drinne und wegen LOCKY bin ich gezwungen die Lücke zuzumachen
>
> :wegen Locky in amavis
>
> #Sperre wegen Lockyvirus
>   qr'\.[^./]*\.(doc|dot|docx|docm|dotx|dotm|docb|xls|xlt|xlm|xlsb|xla|xlam|xll|xlw|ppt|pot|pps|pptx|pptm|potx|potm|ppam|ppsx|ppsm|sldx|sldm|pub)\.?$'i,
>   qr'^application/msword,application/vnd.openxmlformats-officedocument.wordprocessingml.document$'i,
>   qr'^application/vnd.openxmlformats-officedocument.wordprocessingml.template$'i,
>   qr'^application/vnd.ms-word.document.macroEnabled.12$'i,
>   qr'^application/vnd.ms-word.template.macroEnabled.12$'i,
>
>   qr'^application/vnd.ms-excel$'i,
>   qr'^application/vnd.openxmlformats-officedocument.spreadsheetml.sheet$'i,
>   qr'^application/vnd.openxmlformats-officedocument.spreadsheetml.template$'i,
>   qr'^application/vnd.ms-excel.sheet.macroEnabled.12$'i,
>   qr'^application/vnd.ms-excel.template.macroEnabled.12$'i,
>   qr'^application/vnd.ms-excel.addin.macroEnabled.12$'i,
>   qr'^application/vnd.ms-excel.sheet.binary.macroEnabled.12$'i,
> #Sperre wegen Lockyvirus ende
>
> Keine Ahnung ob es tut aber es verhindert zumindest alle z.Z. bekannten infizierten Dateitypen
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
>
>

wer alle office anhaenge per se blocked wird mit so manchen Kunden
Aerger bekommen ( executables sollten default ausreichen ), denn meiner
Erfahrung nach verstehen die meisten Absender nicht die
Ablehnungsgruende, Quarantaine ist auch eine Moeglichkeit oder
intelligent filtern ( was ein user zur not auch selber machen kann )

man koennte auch das hier "verfeinern" ( zusaetzlich zu anderen
Moeglichkeiten ),

https://github.com/croessner/vrfydmn

Postfilx milter that rejects/fixes manipulated From:-header

und/oder mit sieve filtern

https://sys4.de/de/blog/2016/01/22/content-blocking-mit-sieve/

steht hier als Beispiel

siehe

https://tools.ietf.org/html/rfc5703


9.2.  Example 2

   Consider a Sieve script to warn the user about some of the executable
   attachment types.  (The actual list of executable types and
   extensions is considerably longer and constantly changing.  The tests
   shown here are an example only.)  Such a script might look like this:

   require [ "foreverypart", "mime", "enclose" ];

   foreverypart
   {
     if header :mime :param "filename"
        :matches ["Content-Type", "Content-Disposition"]
          ["*.com", "*.exe", "*.vbs", "*.scr",
           "*.pif", "*.hta", "*.bat", "*.zip" ]
     {
       # these attachment types are executable
       enclose :subject "Warning" :text
   WARNING! The enclosed message contains executable attachments.
   These attachment types may contain a computer virus program
   that can infect your computer and potentially damage your data.

   Before clicking on these message attachments, you should verify
   with the sender that this message was sent by them and not a
   computer virus.

das heisst man koennte filtern nach Anhaengen, eine neue Warnungs Mail
erstellen die orig Mail dort anhaengen und in einen besonderen Imap
Ordner wegsortieren.

Als zusaetzlicher Filter waere ein lookup zum Adressbuch als liste noch
gut, das gibt es als Sieve Entwurf

https://tools.ietf.org/html/rfc6134

Syntax of an Externally Stored List Name
...

 Intended usage:  "addrbook" URNs are used for designating references
   to address books.  An address book is a concept used by different
   applications (such as Sieve interpreters) for describing a list of
   named entries, and may be translated into other types of address
   books, such as LDAP groups.  Address books may be private or shared;
   they may be personal, organizational, or perhaps even "crowdsourced".

...

   A name of an externally stored list is always an absolute URI
   [RFC3986].  Implementations might find URIs such as LDAP [RFC4510],
   CardDAV [CardDAV], or "tag" [RFC4151] to be useful for naming
   external lists.

   The "tag" URI scheme [RFC4151] can be used to represent opaque, but
   more user-friendly identifiers.  Resolution of such identifiers is
   going to be implementation specific and it can help in hiding the

http://pigeonhole.dovecot.org/

extlists  (RFC 6134): planned.

an so ein Liste kann aber auch gelangen indem man mitspeichert an wen
gesendet wurde , was evtl aber nicht unproblematisch ist und "boese
Anhaenge konnen natuerlich auch von ein bekannten Kontakt kommen.

Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein