Absenderverifikation für From-Header - gibt es da was Neues?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
21 messages Options
12
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Absenderverifikation für From-Header - gibt es da was Neues?

Max Grobecker
Hallo zusammen,

Bei mir prüft Postfix mittels reject_sender_login_mismatch ob Absender und Account zusammenpassen.
Das funktioniert an sich ganz prima, kann aber relativ leicht ausgehebelt werden.
Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als MAIL FROM angegeben werden, was dann später im
From-Header steht ist Postfix dann vollkommen egal.

Das ist ja im weitesten Sinne ein dokumentiertes Verhalten, allerdings hilft das natürlich nur bedingt weiter.*
Gibt es eine Möglichkeit - außer den From-Header zu verwerfen und von Postfix neu schreiben zu lassen - eben jenen Header
zu prüfen und ggf. die Mail abzulehnen?
In der aktuellen Postfix-Doku habe ich keine fortgeschrittenere Technologie gefunden, aber vielleicht suche ich auch falsch ;-)


Viele Grüße aus dem Tal
Max



* Insbesondere, seitdem Thunderbird spätestens ab Version 45 mit dem Feature kommt, dass man vor dem Versenden der Mail
mal eben die Absenderadresse vollkommen frei austauschen kann.


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker
Hallo Max,

ich habe mich eines Kunstgriffs bedient:

smtpd_sender_restrictions =
         reject_authenticated_sender_login_mismatch,
         check_sender_access mysql:/etc/postfix/sql/sender_access,
         reject

wobei der select ein OK zurück geben muss wenn der Match erfolgt und
wenn nicht dann halt der reject den Du wohl suchst.

Da ich vor dem gleichem Problem stand, für mein Verständnis von Postfix
war das die Lösung, ich bin allerdings kein virtuose, wie manch andere
hier. also alle Angaben ohne "Gewä(e)hr".

Gruß
Robert


Am 20.04.2016 um 01:19 schrieb Max Grobecker:

> Hallo zusammen,
>
> Bei mir prüft Postfix mittels reject_sender_login_mismatch ob Absender und Account zusammenpassen.
> Das funktioniert an sich ganz prima, kann aber relativ leicht ausgehebelt werden.
> Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als MAIL FROM angegeben werden, was dann später im
> From-Header steht ist Postfix dann vollkommen egal.
>
> Das ist ja im weitesten Sinne ein dokumentiertes Verhalten, allerdings hilft das natürlich nur bedingt weiter.*
> Gibt es eine Möglichkeit - außer den From-Header zu verwerfen und von Postfix neu schreiben zu lassen - eben jenen Header
> zu prüfen und ggf. die Mail abzulehnen?
> In der aktuellen Postfix-Doku habe ich keine fortgeschrittenere Technologie gefunden, aber vielleicht suche ich auch falsch ;-)
>
>
> Viele Grüße aus dem Tal
> Max
>
>
>
> * Insbesondere, seitdem Thunderbird spätestens ab Version 45 mit dem Feature kommt, dass man vor dem Versenden der Mail
> mal eben die Absenderadresse vollkommen frei austauschen kann.
>

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Paul-2
Hi Robert,

Am 20.04.2016 um 08:29 schrieb robert:

> Hallo Max,
>
> ich habe mich eines Kunstgriffs bedient:
>
> smtpd_sender_restrictions =
>         reject_authenticated_sender_login_mismatch,
>         check_sender_access mysql:/etc/postfix/sql/sender_access,
>         reject
>
> wobei der select ein OK zurück geben muss wenn der Match erfolgt und
> wenn nicht dann halt der reject den Du wohl suchst.

Kannst du bitte noch die SQL-Abfrage nachreichen?
Gerade das bereitet mir Kopfzerbrechen.

Danke!

>
> Da ich vor dem gleichem Problem stand, für mein Verständnis von Postfix
> war das die Lösung, ich bin allerdings kein virtuose, wie manch andere
> hier. also alle Angaben ohne "Gewä(e)hr".
>
> Gruß
> Robert
>

Gruß,
Paul

>
> Am 20.04.2016 um 01:19 schrieb Max Grobecker:
>> Hallo zusammen,
>>
>> Bei mir prüft Postfix mittels reject_sender_login_mismatch ob Absender
>> und Account zusammenpassen.
>> Das funktioniert an sich ganz prima, kann aber relativ leicht
>> ausgehebelt werden.
>> Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als
>> MAIL FROM angegeben werden, was dann später im
>> From-Header steht ist Postfix dann vollkommen egal.
>>
>> Das ist ja im weitesten Sinne ein dokumentiertes Verhalten, allerdings
>> hilft das natürlich nur bedingt weiter.*
>> Gibt es eine Möglichkeit - außer den From-Header zu verwerfen und von
>> Postfix neu schreiben zu lassen - eben jenen Header
>> zu prüfen und ggf. die Mail abzulehnen?
>> In der aktuellen Postfix-Doku habe ich keine fortgeschrittenere
>> Technologie gefunden, aber vielleicht suche ich auch falsch ;-)
>>
>>
>> Viele Grüße aus dem Tal
>> Max
>>
>>
>>
>> * Insbesondere, seitdem Thunderbird spätestens ab Version 45 mit dem
>> Feature kommt, dass man vor dem Versenden der Mail
>> mal eben die Absenderadresse vollkommen frei austauschen kann.
>>
>

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker
Hallo Paul,

smtpd_sender_login_maps nocht vergessen.

hier mein select
query = select "OK" from Users where Address = '%s'

ich möchte nochmal darauf hinweisen das es nicht zwingend richtig sein
muss, evtl. gibt es leichtere bessere Lösungen.

Am 20.04.2016 um 12:19 schrieb Paul:

> Hi Robert,
>
> Am 20.04.2016 um 08:29 schrieb robert:
>> Hallo Max,
>>
>> ich habe mich eines Kunstgriffs bedient:
>>
>> smtpd_sender_restrictions =
>>          reject_authenticated_sender_login_mismatch,
>>          check_sender_access mysql:/etc/postfix/sql/sender_access,
>>          reject
>>
>> wobei der select ein OK zurück geben muss wenn der Match erfolgt und
>> wenn nicht dann halt der reject den Du wohl suchst.
>
> Kannst du bitte noch die SQL-Abfrage nachreichen?
> Gerade das bereitet mir Kopfzerbrechen.
>
> Danke!
>
>>
>> Da ich vor dem gleichem Problem stand, für mein Verständnis von Postfix
>> war das die Lösung, ich bin allerdings kein virtuose, wie manch andere
>> hier. also alle Angaben ohne "Gewä(e)hr".
>>
>> Gruß
>> Robert
>>
>
> Gruß,
> Paul
>
>>
>> Am 20.04.2016 um 01:19 schrieb Max Grobecker:
>>> Hallo zusammen,
>>>
>>> Bei mir prüft Postfix mittels reject_sender_login_mismatch ob Absender
>>> und Account zusammenpassen.
>>> Das funktioniert an sich ganz prima, kann aber relativ leicht
>>> ausgehebelt werden.
>>> Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als
>>> MAIL FROM angegeben werden, was dann später im
>>> From-Header steht ist Postfix dann vollkommen egal.
>>>
>>> Das ist ja im weitesten Sinne ein dokumentiertes Verhalten, allerdings
>>> hilft das natürlich nur bedingt weiter.*
>>> Gibt es eine Möglichkeit - außer den From-Header zu verwerfen und von
>>> Postfix neu schreiben zu lassen - eben jenen Header
>>> zu prüfen und ggf. die Mail abzulehnen?
>>> In der aktuellen Postfix-Doku habe ich keine fortgeschrittenere
>>> Technologie gefunden, aber vielleicht suche ich auch falsch ;-)
>>>
>>>
>>> Viele Grüße aus dem Tal
>>> Max
>>>
>>>
>>>
>>> * Insbesondere, seitdem Thunderbird spätestens ab Version 45 mit dem
>>> Feature kommt, dass man vor dem Versenden der Mail
>>> mal eben die Absenderadresse vollkommen frei austauschen kann.
>>>
>>
>

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Max Grobecker
In reply to this post by Robert Möker
Hallo Robert,


Am 20.04.2016 um 08:29 schrieb robert:

> smtpd_sender_restrictions =
>         reject_authenticated_sender_login_mismatch,
>         check_sender_access mysql:/etc/postfix/sql/sender_access,
>         reject
>
> wobei der select ein OK zurück geben muss wenn der Match erfolgt und wenn nicht dann halt der reject den Du wohl suchst.

Noja, das hab ich ja bei mir schon - die Frage ist halt, wie ich damit eine Übereinstimmung aus der Kombination des Benutzernamens und des Absenders im From-Header prüfen oder erzwingen kann.
All diese Mechanismen greifen nämlich nur auf die Adressen, die im MAIL FROM während der SMTP-Transaktion ausgetauscht werden, nicht jedoch auf das, was letztlich im Header steht
und von den Mailclients beim Empfänger angezeigt werden.



Viele Grüße aus dem Tal
Max

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker
Hallo Max,

Sender address rejected: not owned by user <saslloginname>;
from=<[hidden email]> to=<[hidden email]>...

Das ist was ich erhalte wenn ich in der Data From zeile nichts eingebe
oder eben humbug  also bei
Data

From: hansdampf <[hidden email]>

oder
<[hidden email]>

dann erhalte ich kein OK der db abfrage und dann siehe Fehler oben.

Aber wie gesagt ich bin kein virtuose und es muss nicht zwingend richtig
sein.

Aber ich habe bis jetzt nicht bemerken können das dies ausgehebelt wird
und ich bekomme es per telnet ebenfalls nicht ausgehebelt.

Ich würde gerne anders testen, sag mir wie und ich probiere es aus.

Gruß
Robert


Am 20.04.2016 um 13:53 schrieb Max Grobecker:

> Hallo Robert,
>
>
> Am 20.04.2016 um 08:29 schrieb robert:
>
>> smtpd_sender_restrictions =
>>          reject_authenticated_sender_login_mismatch,
>>          check_sender_access mysql:/etc/postfix/sql/sender_access,
>>          reject
>>
>> wobei der select ein OK zurück geben muss wenn der Match erfolgt und wenn nicht dann halt der reject den Du wohl suchst.
>
> Noja, das hab ich ja bei mir schon - die Frage ist halt, wie ich damit eine Übereinstimmung aus der Kombination des Benutzernamens und des Absenders im From-Header prüfen oder erzwingen kann.
> All diese Mechanismen greifen nämlich nur auf die Adressen, die im MAIL FROM während der SMTP-Transaktion ausgetauscht werden, nicht jedoch auf das, was letztlich im Header steht
> und von den Mailclients beim Empfänger angezeigt werden.
>
>
>
> Viele Grüße aus dem Tal
> Max
>

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Max Grobecker
Hallo Robert,

ich habe es gerade nochmal mit Debugging getestet - ich komme um die Verifikation einfach drumherum, solange ich im MAIL TO während der SMTP-Transaktion einen
gültigen Absender wähle :-(


Auszug aus dem Debug-Log:
-----------------------------------------------------------------------------------------------------
--> 220 mx0.301-moved.de - Hello, I'm a little teapot!
--> 250-mx0.301-moved.de
<-- AUTH PLAIN ......
--> 235 2.7.0 Authentication successful
<-- MAIL FROM:<[hidden email]> RET=FULL ENVID=<[hidden email]> BODY=8BITMIME SIZE=396
--> 250 2.1.0 Ok
<-- RCPT TO:<empfaenger> NOTIFY=SUCCESS,FAILURE,DELAY ORCPT=rfc822;empfaenger


** >>> START Sender address RESTRICTIONS <<<
** check_table_result: mysql:/etc/postfix/mysql_virtual_sender_login_mismatch_maps_advanced.cf OK [hidden email]
** match_list_match: OK: no match
** generic_checks: name=check_sender_access status=1
** >>> END Sender address RESTRICTIONS <<<


--> 250 2.1.5 Ok
<-- DATA
--> 354 End data with <CR><LF>.<CR><LF>

-----------------------8<----------------------------------
Return-Path: <[hidden email]>
To: <empfaenger>
From: [hidden email]
Subject: test
Message-ID: <[hidden email]>
Date: Wed, 20 Apr 2016 21:06:45 +0200
[...]
----------------------->8----------------------------------
--> 250 2.0.0 Ok: queued as 3qqrw12S4hzB0Vs
-----------------------------------------------------------------------------------------------------

"[hidden email]" ist die Mailadresse, die zu dem SASL-Account gehört und demzufolge verwendet werden darf.
Die ganzen Prüfungen geben auch grünes Licht, weil Postfix nur mit "[hidden email]" prüft - nicht jedoch (nach dem DATA) auf den übermittelten Header.
Grundsätzlich funktioniert das aber - setze ich den falschen Absender tatsächlich so in den MAIL FROM ein wird die Mail erwartungsgemäß abgelehnt.

Gibt es die Möglichkeit einen Header-Check durchführen zu lassen, welcher dynamisch aus einer SQL-Query zusammengeknuppert wird und optimalerweise auch
den SASL-Benutzernamen als Parameter nehmen kann? Oder fahre ich dann besser, wenn ich mir da selbst ein Script baue, welches das prüft?


Viele Grüße aus dem Tal
Max
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker
Hallo Max,

ja hast recht, geht bei mir auch. :-( alles was nach Data kommt wird
nicht mehr geprüft. Mist.
Jetzt bin ich angefixt und will wissen wie man das auch unterbinden kann
das da humbug steht.
Wenn Du eine Lösung hast, erleuchte mich.
Am 20.04.2016 um 21:19 schrieb Max Grobecker:

> Hallo Robert,
>
> ich habe es gerade nochmal mit Debugging getestet - ich komme um die Verifikation einfach drumherum, solange ich im MAIL TO während der SMTP-Transaktion einen
> gültigen Absender wähle :-(
>
>
> Auszug aus dem Debug-Log:
> -----------------------------------------------------------------------------------------------------
> --> 220 mx0.301-moved.de - Hello, I'm a little teapot!
> --> 250-mx0.301-moved.de
> <-- AUTH PLAIN ......
> --> 235 2.7.0 Authentication successful
> <-- MAIL FROM:<[hidden email]> RET=FULL ENVID=<[hidden email]> BODY=8BITMIME SIZE=396
> --> 250 2.1.0 Ok
> <-- RCPT TO:<empfaenger> NOTIFY=SUCCESS,FAILURE,DELAY ORCPT=rfc822;empfaenger
>
>
> ** >>> START Sender address RESTRICTIONS <<<
> ** check_table_result: mysql:/etc/postfix/mysql_virtual_sender_login_mismatch_maps_advanced.cf OK [hidden email]
> ** match_list_match: OK: no match
> ** generic_checks: name=check_sender_access status=1
> ** >>> END Sender address RESTRICTIONS <<<
>
>
> --> 250 2.1.5 Ok
> <-- DATA
> --> 354 End data with <CR><LF>.<CR><LF>
>
> -----------------------8<----------------------------------
> Return-Path: <[hidden email]>
> To: <empfaenger>
> From: [hidden email]
> Subject: test
> Message-ID: <[hidden email]>
> Date: Wed, 20 Apr 2016 21:06:45 +0200
> [...]
> ----------------------->8----------------------------------
> --> 250 2.0.0 Ok: queued as 3qqrw12S4hzB0Vs
> -----------------------------------------------------------------------------------------------------
>
> "[hidden email]" ist die Mailadresse, die zu dem SASL-Account gehört und demzufolge verwendet werden darf.
> Die ganzen Prüfungen geben auch grünes Licht, weil Postfix nur mit "[hidden email]" prüft - nicht jedoch (nach dem DATA) auf den übermittelten Header.
> Grundsätzlich funktioniert das aber - setze ich den falschen Absender tatsächlich so in den MAIL FROM ein wird die Mail erwartungsgemäß abgelehnt.
>
> Gibt es die Möglichkeit einen Header-Check durchführen zu lassen, welcher dynamisch aus einer SQL-Query zusammengeknuppert wird und optimalerweise auch
> den SASL-Benutzernamen als Parameter nehmen kann? Oder fahre ich dann besser, wenn ich mir da selbst ein Script baue, welches das prüft?
>
>
> Viele Grüße aus dem Tal
> Max
>
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Kai Fürstenberg
Hallo Max, hallo Robert,

kann es sein, dass ihr beiden im Moment SMTP-Dialog und E-Mail-Inhalt
total verwechselt oder durcheinander wurschtelt?

Von vorne:
reject_authenticated_sender_login_mismatch prüft nur im SMTP-Dialog und
funktioniert hervorragend. Kann man nicht aushebeln durch

> Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als
> MAIL FROM angegeben werden

Wenn AUTH und MAIL FROM nicht zusammen passen, wird die Mail geblockt,
sonst geht sie durch. Punkt. Das gilt für authentifizierte und für nicht
authentifizierte Mail.

Davon ist aber der From-Header der E-Mail überhaupt nicht von berührt.
"MAIL FROM" und "From:" können völlig unterschiedlich sein, ist auch OK so.

Postfix kann Header überprüfen. Das sind dann aber header-checks und
keine smtpd_recipient_restrictions.

Am 20.04.2016 um 22:20 schrieb Robert:
> Auszug aus dem Debug-Log:
> -----------------------------------------------------------------------------------------------------
> --> 220 mx0.301-moved.de - Hello, I'm a little teapot!
> --> 250-mx0.301-moved.de
> <-- AUTH PLAIN ......
> --> 235 2.7.0 Authentication successful
> <-- MAIL FROM:<[hidden email]> RET=FULL ENVID=<[hidden email]> BODY=8BITMIME SIZE=396
> --> 250 2.1.0 Ok
> <-- RCPT TO:<empfaenger> NOTIFY=SUCCESS,FAILURE,DELAY ORCPT=rfc822;empfaenger

Bis hier hin haben wir nur SMTP-Dialog. Kein Mail-Inhalt. Der kommt erst
nach DATA. smtpd_data_restrictions bringen hier aber auch nichts, es
wird immer noch nur der SMTP-Dialog geprüft. Sonst nichts.

Um die Header zu prüfen, gibt es von Postfix-Seite die header_checks.

header_checks können aber nicht z.B. mit einer Datenbank verbunden
werden und haben auch keinen Zugriff auf die Daten aus dem SMTP-Dialog.
Zudem werden diese Checks auch bei authentifizierter Mail durchgeführt.
Wenn du also im From-Header deine eigene E-Mail-Adresse über
header_checks blockst, blockst du ALLE Mails mit deiner E-Mail-Adresse,
auch die authentifizierten.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Kai Fürstenberg
Am 21.04.2016 um 09:40 schrieb Kai Fürstenberg:
> Von vorne:
> reject_authenticated_sender_login_mismatch prüft nur im SMTP-Dialog und
> funktioniert hervorragend. Kann man nicht aushebeln durch

>> > Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als
>> > MAIL FROM angegeben werden

> Wenn AUTH und MAIL FROM nicht zusammen passen, wird die Mail geblockt,
> sonst geht sie durch. Punkt. Das gilt für authentifizierte und für nicht
> authentifizierte Mail.

da muss ich mich ja selbst korrigieren:
reject_authenticated_sender_login_mismatch betrifft natürlich nur
authentifizierte Mail.

Nicht authentifizierte Mail mit eigenen MAIL FROM wird nicht beachtet.

Dafür gibt es
reject_unauthenticated_sender_login_mismatch oder gleich
reject_sender_login_mismatch

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker
In reply to this post by Kai Fürstenberg
Hallo Kai,

ja etwas, aber die Wortwahl ist hier doch eher der unser Fehler.

Im Endefekt wollen wir erreichen das man in dem Email Inhalt in die
From: Zeile nicht reinschreiben kann was man will.

 > Postfix kann Header überprüfen. Das sind dann aber Header-checks und
 > keine smtpd_recipient_restrictions.

Diese header_checks, lassen sich aber nicht in
smtpd_sender_restrictions integrieren, jedenfalls habe ich noch keine
Möglichkeit dazu gefunden.

Gruß
Robert

Am 21.04.2016 um 09:40 schrieb Kai Fürstenberg:

> Hallo Max, hallo Robert,
>
> kann es sein, dass ihr beiden im Moment SMTP-Dialog und E-Mail-Inhalt
> total verwechselt oder durcheinander wurschtelt?
>
> Von vorne:
> reject_authenticated_sender_login_mismatch prüft nur im SMTP-Dialog und
> funktioniert hervorragend. Kann man nicht aushebeln durch
>
>> Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als
>> MAIL FROM angegeben werden
>
> Wenn AUTH und MAIL FROM nicht zusammen passen, wird die Mail geblockt,
> sonst geht sie durch. Punkt. Das gilt für authentifizierte und für nicht
> authentifizierte Mail.
>
> Davon ist aber der From-Header der E-Mail überhaupt nicht von berührt.
> "MAIL FROM" und "From:" können völlig unterschiedlich sein, ist auch OK so.
>
> Postfix kann Header überprüfen. Das sind dann aber Header-checks und
> keine smtpd_recipient_restrictions.
>
> Am 20.04.2016 um 22:20 schrieb Robert:
>> Auszug aus dem Debug-Log:
>> -----------------------------------------------------------------------------------------------------
>> --> 220 mx0.301-moved.de - Hello, I'm a little teapot!
>> --> 250-mx0.301-moved.de
>> <-- AUTH PLAIN ......
>> --> 235 2.7.0 Authentication successful
>> <-- MAIL FROM:<[hidden email]> RET=FULL ENVID=<[hidden email]> BODY=8BITMIME SIZE=396
>> --> 250 2.1.0 Ok
>> <-- RCPT TO:<empfaenger> NOTIFY=SUCCESS,FAILURE,DELAY ORCPT=rfc822;empfaenger
>
> Bis hier hin haben wir nur SMTP-Dialog. Kein Mail-Inhalt. Der kommt erst
> nach DATA. smtpd_data_restrictions bringen hier aber auch nichts, es
> wird immer noch nur der SMTP-Dialog geprüft. Sonst nichts.
>
> Um die Header zu prüfen, gibt es von Postfix-Seite die header_checks.
>
> header_checks können aber nicht z.B. mit einer Datenbank verbunden
> werden und haben auch keinen Zugriff auf die Daten aus dem SMTP-Dialog.
> Zudem werden diese Checks auch bei authentifizierter Mail durchgeführt.
> Wenn du also im From-Header deine eigene E-Mail-Adresse über
> header_checks blockst, blockst du ALLE Mails mit deiner E-Mail-Adresse,
> auch die authentifizierten.
>

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Winfried Neessen
Hi,

Am 2016-04-21 11:00, schrieb robert:

> Im Endefekt wollen wir erreichen das man in dem Email Inhalt in die
> From: Zeile
> nicht reinschreiben kann was man will.
>
Wozu? Solang das Envolpe-From nicht veraendert werden kann, ist das was
im Mailheader
steht voellig irrelevant. Nicht nur das, es ist teilweise sogar
gewuenscht, dass dort
nicht zwingend die Mail-From Adresse steht. Ich versteh den ganzen
Aufwand den Du da
versuchst nicht.


Winni
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Daniel Gompf
In reply to this post by Robert Möker
Hallo Robert,

Am 21.04.2016 um 11:00 schrieb robert:
> Hallo Kai,
>
> ja etwas, aber die Wortwahl ist hier doch eher der unser Fehler.
>
> Im Endefekt wollen wir erreichen das man in dem Email Inhalt in die
> From: Zeile nicht reinschreiben kann was man will.
>

Das klingt jetzt zwar nach Briefkastenfirma, aber es gibt durchaus gute
Gründe dort etwas anderes stehen zu haben als die Adresse, die für den
Auth genutzt wird.
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker
In reply to this post by Winfried Neessen
Hallo Winni,

der kann doch verändert werden, ich schreibe da rein From: Paypal
<[hidden email]> und ich bin sicher das ich keine Mails für Paypal
verschicke und verschicken möchte.
Sicher kann ich im header_check per regex die Domain unterbinden,
einfach fände ich wenn ich alles was ich nicht Adresse aus einer
Datenbank fische einfach nicht gestatte.

Ich sehe keine Grund das meine Postfachbenutzer eine fremde Mail Adresse
in die From zeile eintragen.

Es Muss ja nicht der Account Name sein.
Schauen wir mal zu 1&1 :

(kopiert von zy0.de)
Return-Path: <[hidden email]>
X-Original-To: [hidden email]
Received: from mout.kundenserver.de (mout.kundenserver.de [212.227.17.24])
        by spam.over.port25.me (Spamtrap) with ESMTP
        for <[hidden email]>; Thu, 21 Apr 2016 11:29:41 +0200 (CEST)
Received: from WIN-8GFQESRM0L5 ([5.196.148.69]) by mrelayeu.kundenserver.de
  (mreue103) with ESMTPSA (Nemesis) id 0Lj4n8-1bSHb52Wfm-00dBXH for
  <[hidden email]>; Wed, 20 Apr 2016 02:02:10 +0200
From: "PayPal" <[hidden email]>

Sowas würde es nicht geben, wenn man das unterbindet.

Ja durch DKIM beist sowas sowieso auf Granit, dennoch muss es doch schon
vorab eine Möglichkeit geben sowas generell zu unterbinden.



Am 21.04.2016 um 11:08 schrieb Winfried Neessen:

> Hi,
>
> Am 2016-04-21 11:00, schrieb robert:
>
>> Im Endefekt wollen wir erreichen das man in dem Email Inhalt in die
>> From: Zeile
>> nicht reinschreiben kann was man will.
>>
> Wozu? Solang das Envolpe-From nicht veraendert werden kann, ist das was
> im Mailheader
> steht voellig irrelevant. Nicht nur das, es ist teilweise sogar
> gewuenscht, dass dort
> nicht zwingend die Mail-From Adresse steht. Ich versteh den ganzen
> Aufwand den Du da
> versuchst nicht.
>
>
> Winni

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker
In reply to this post by Daniel Gompf
Hallo Daniel,

es muss nicht zwingend die Adresse des Auths sein, aber eine x-belibige,
soll es auch nicht sein.

Gruß
Robert

Am 21.04.2016 um 11:13 schrieb Daniel Gompf:

> Hallo Robert,
>
> Am 21.04.2016 um 11:00 schrieb robert:
>> Hallo Kai,
>>
>> ja etwas, aber die Wortwahl ist hier doch eher der unser Fehler.
>>
>> Im Endefekt wollen wir erreichen das man in dem Email Inhalt in die
>> From: Zeile nicht reinschreiben kann was man will.
>>
>
> Das klingt jetzt zwar nach Briefkastenfirma, aber es gibt durchaus gute
> Gründe dort etwas anderes stehen zu haben als die Adresse, die für den
> Auth genutzt wird.
>

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Winfried Neessen
In reply to this post by Robert Möker
Hi Robert,

Am 2016-04-21 11:35, schrieb robert:

> der kann doch verändert werden, ich schreibe da rein From: Paypal
> <[hidden email]> und ich bin
> sicher das ich keine Mails für Paypal verschicke und verschicken
> möchte.
>

Das ist aber voellig unerheblich was im Mailheader steht. Wichtig ist,
dass ein authentifizierter
User keine anderes MAIL FROM setzen kann, als das unter dem er sich am
Mailserver angemeldet hat.

> Ich sehe keine Grund das meine Postfachbenutzer eine fremde Mail
> Adresse in die From
> zeile eintragen.
>
Dann sprich mal mit Kunden die Newsletter verschicken ;)

> Es Muss ja nicht der Account Name sein.
> Schauen wir mal zu 1&1 :
>
> (kopiert von zy0.de)
> Return-Path: <[hidden email]>
> X-Original-To: [hidden email]
> Received: from mout.kundenserver.de (mout.kundenserver.de
> [212.227.17.24])
> by spam.over.port25.me (Spamtrap) with ESMTP
> for <[hidden email]>; Thu, 21 Apr 2016 11:29:41 +0200
> (CEST)
> Received: from WIN-8GFQESRM0L5 ([5.196.148.69]) by
> mrelayeu.kundenserver.de
> (mreue103) with ESMTPSA (Nemesis) id 0Lj4n8-1bSHb52Wfm-00dBXH for
> <[hidden email]>; Wed, 20 Apr 2016 02:02:10 +0200
> From: "PayPal" <[hidden email]>
>

Das einzige was hier relevant ist, ist der Return-Path (der aus dem MAIL
FROM gewonnen wird).
Der duerfte hier nicht @paypal sein, sondern muesste die Adresse des
Absenders behinhalten.
Das kannst Du via smtpd_sender_login_maps erreichen. Was im
"From:"-Header steht ist
irrelevant. Sich auf das "From:" aus dem Mailheader zu verlassen, waere
als wenn Du bei einem
HTTP Request irgendeinem (vom Client/Browser setzbaren) X-Header trauen
wuerdest.


Winni
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Robert Möker

Hallo Winni,

Am 21.04.2016 um 11:44 schrieb Winfried Neessen:

> Hi Robert,
>
> Am 2016-04-21 11:35, schrieb robert:
>
>> der kann doch verändert werden, ich schreibe da rein From: Paypal
>> <[hidden email]> und ich bin
>> sicher das ich keine Mails für Paypal verschicke und verschicken möchte.
>>
>
> Das ist aber voellig unerheblich was im Mailheader steht. Wichtig ist,
> dass ein authentifizierter
> User keine anderes MAIL FROM setzen kann, als das unter dem er sich am
> Mailserver angemeldet hat.

Dies habe ich bereits mit bekannten mitteln erreicht,auch mit maps das
dies nicht der "Auth"name sein muss.

>
>> Ich sehe keine Grund das meine Postfachbenutzer eine fremde Mail
>> Adresse in die From
>> zeile eintragen.
>>
> Dann sprich mal mit Kunden die Newsletter verschicken ;)
>
>> Es Muss ja nicht der Account Name sein.
>> Schauen wir mal zu 1&1 :
>>
>> (kopiert von zy0.de)
>> Return-Path: <[hidden email]>
>> X-Original-To: [hidden email]
>> Received: from mout.kundenserver.de (mout.kundenserver.de
>> [212.227.17.24])
>> by spam.over.port25.me (Spamtrap) with ESMTP
>> for <[hidden email]>; Thu, 21 Apr 2016 11:29:41 +0200
>> (CEST)
>> Received: from WIN-8GFQESRM0L5 ([5.196.148.69]) by
>> mrelayeu.kundenserver.de
>> (mreue103) with ESMTPSA (Nemesis) id 0Lj4n8-1bSHb52Wfm-00dBXH for
>> <[hidden email]>; Wed, 20 Apr 2016 02:02:10 +0200
>> From: "PayPal" <[hidden email]>
>>
>
> Das einzige was hier relevant ist, ist der Return-Path (der aus dem MAIL
> FROM gewonnen wird).
> Der duerfte hier nicht @paypal sein, sondern muesste die Adresse des
> Absenders behinhalten.
> Das kannst Du via smtpd_sender_login_maps erreichen. Was im
> "From:"-Header steht ist
> irrelevant. Sich auf das "From:" aus dem Mailheader zu verlassen, waere
> als wenn Du bei einem
> HTTP Request irgendeinem (vom Client/Browser setzbaren) X-Header trauen
> wuerdest.
>
>
> Winni

Es geht mir ja nicht darum sich auf das "From" nicht zu verlassen, (wie
geschrieben, ich habe bereits Sender_login_maps, nicht wie die "profis
von 1&1")
Ich möchte einfach nicht das, falls das Postfach von "kleinfritzchen"
auch wenn es mal gekapert wurde, eben nicht in der Fromzeile irgendwas
stehen kann.(Schnell noch 10000 Mails an alle möglichen
Blacklistenspamtraps schicken ..upps)


Das doofe ist ja auch noch das dies im Klienten angezeigt wird, also die
interessiert es nicht was im Return steht sondern das was im From steht.
Da wird jeder normale Benutzer behaupten, wieso das kommt doch von
paypal. Das steht doch sogar da.

Was passiert wir pflegen eine header_checks in die wir dann per regex
reinschreiben:

/^From:.* <.*@paypal.de>/       REJECT
/^From:.* <.*@paypal.at>/       REJECT
/^From:.* <.*@paypal.com>/       REJECT
/^From:.* <.*@dhl.de>/       REJECT
usw.

Das muss doch anders gehen, eigentlich,
aber gibt wohl keine Möglichkeit dies zu kontrollieren.

Dies war auch Max Hintergrund, an seiner Ursprünglichen Frage, denke ich
zumindest.

Gruß
Robert
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Kai Fürstenberg
In reply to this post by Max Grobecker
Hi Max,

Am 20.04.2016 um 01:19 schrieb Max Grobecker:

> Bei mir prüft Postfix mittels reject_sender_login_mismatch ob
> Absender und Account zusammenpassen. Das funktioniert an sich ganz
> prima, kann aber relativ leicht ausgehebelt werden. Dazu muss nur ein
> gültiger Absender während der SMTP-Transaktion als MAIL FROM
> angegeben werden, was dann später im From-Header steht ist Postfix
> dann vollkommen egal.
>
> Das ist ja im weitesten Sinne ein dokumentiertes Verhalten,
> allerdings hilft das natürlich nur bedingt weiter.* Gibt es eine
> Möglichkeit - außer den From-Header zu verwerfen und von Postfix neu
> schreiben zu lassen - eben jenen Header zu prüfen und ggf. die Mail
> abzulehnen? In der aktuellen Postfix-Doku habe ich keine
> fortgeschrittenere Technologie gefunden, aber vielleicht suche ich
> auch falsch ;-)

ich komme nochmal auf die ganz ursprüngliche Mail zurück.
Das, was du vor hast ist, mit Postfix-Bordmitteln nicht zu erreichen.
Abgesehen von Header- und Body-Checks interessiert sich Postfix nicht
für den Inhalt und damit auch nicht für die Header einer E-Mail.

Da die Peer'sche Standardkonfiguration aber auch Amavis und Spamassassin
beinhaltet, könntest du einfach diese beiden für deine Zwecke in
Anspruch nehmen.

Der Verwaltungsaufwand lohnt sich aber nur, wenn du nur ne Handvoll
Domänen verwaltest, bzw. die Domain-Fluktuation sich in Grenzen hält.

Du prüfst über den Spamassassin, ob der From:-Header eine eigene Domain
aufweist und verpasst dieser Regel ein entsprechend hohes Scoring. Die
Mails, die über AUTH hereinkommen, nimmst du von der Prüfung über eine
Policy-Bank aus.

Hab ich nicht geprüft, erscheint mir aber logisch. Du müsstest nur
prüfen, ob das mit deinem Setup realisierbar ist.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Rainer Wiesenfarth
In reply to this post by Robert Möker
From: robert
> [...]
> Diese header_checks, lassen sich aber nicht in smtpd_sender_restrictions
> integrieren, jedenfalls habe ich noch keine Möglichkeit dazu gefunden.

Das kann auch nicht funktionieren. smtpd_sender_restrictions werden bereits im Kontext des "MAIL From:" Kommandos abgearbeitet, die Header-Zeilen kommen aber erst im "DATA" Block.

Best Regards / Mit freundlichen Grüßen
Rainer Wiesenfarth

--
Software Engineer | Trimble Imaging Division
Rotebühlstraße 81 | 70178 Stuttgart | Germany
Office +49 711 22881 0 | Fax +49 711 22881 11
http://www.trimble.com/imaging/ | http://www.inpho.de/

Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim
Eingetragen beim Amtsgericht Darmstadt unter HRB 83893,
Geschäftsführer: Dr. Frank Heimberg, Hans-Jürgen Gebauer

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Absenderverifikation für From-Header - gibt es da was Neues?

Max Grobecker
In reply to this post by Kai Fürstenberg
Hallo Kai,

ich glaube, dann muss ich mir doch mal ansehen wie man Milter für Postfix baut ;-)
Der könnte das ja dann theoretisch gegen die Datenbanken (SQL) prüfen und den Absender wegschicken.

Oder ich muss die Holzhammermethode nehmen, auf den Submission-Ports den "From"-Header wegschmeißen
und durch Postfix danach neu basierend auf dem MAIL FROM schreiben lassen...
Lieber wäre es mir aber, die E-Mail in dem Fall abzulehnen bevor sie mit einem unerwarteten Absender zugestellt wird.


Am 21.04.2016 um 13:12 schrieb Kai Fürstenberg:

> Der Verwaltungsaufwand lohnt sich aber nur, wenn du nur ne Handvoll
> Domänen verwaltest, bzw. die Domain-Fluktuation sich in Grenzen hält.
>
> Du prüfst über den Spamassassin, ob der From:-Header eine eigene Domain
> aufweist und verpasst dieser Regel ein entsprechend hohes Scoring. Die
> Mails, die über AUTH hereinkommen, nimmst du von der Prüfung über eine
> Policy-Bank aus.

Da habe ich sowieso schon Aufwand, weil ich über Amavis die DKIM-Signierung vornehme.
Entsprechend gibt es dort Scripte, welche die Domainliste aus der Datenbank holen und DKIM-Configs erzeugen und in Amavis zu includen.

Ich schaue mal was mir besser gefällt. Damit hätte ich zumindest mal einen Grund, mich näher mit Milter zu beschäftigen ;-)


Viele Grüße aus dem Tal
Max

12
Loading...