Client IP im Transportheader unterdrücken wenn SASL authentisiert

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Client IP im Transportheader unterdrücken wenn SASL authentisiert

Peter Heitzer
Ist es in Postfix möglich, die Client IP im Header zu unterdrücken, wenn der
Client sich mit SASL authentisiert hat.

Beispiel für einen Header:

Return-path: <[hidden email]>
Received: from [hidden email] ([IP meines MTA])
        by [hidden email] with ESMTP; Mon, 03 Aug 2015 16:27:10 +0200
Received: from [hidden email] (localhost [127.0.0.1])
        by localhost (Postfix) with SMTP id 05EA864F2
        for <[hidden email]>; Mon,  3 Aug 2015 16:27:10 +0200 (CEST)

Received: from [hidden email] ([hidden email] [IP von [hidden email]])
        (using TLSv1 with cipher AES128-SHA (128/128 bits))


Die letzte Received: Zeile von [hidden email] soll unterdrückt werden.

Hintergrund ist folgender:


Wir haben auf unseren MTAs Sophos PureMessage im Einsatz. Bei unserer
Spampolicy prüfen wir
eingehende Mails von authentisierten Clients nur auf Viren. Wenn nun aber die
Mail im
TO oder CC an Empfänger außerhalb geht und die IP-Adresse des Clients ist
blackgelistet,
dann würde u.U. die Mail beim Empfänger als Spam eingestuft. Wir wollen aber,
daß
die Mail so aussieht, als käme sie von unserer Domain.

Ist soetwas einfach möglich?

Ich persönlich halte den Eintrag mit der Client IP für sinnvoll bei evtl.
Fehleranalysen,
aber von oberster Stelle ist es so gewünscht.

 
Reply | Threaded
Open this post in threaded view
|

Re: Client IP im Transportheader unterdrücken wenn SASL authentisiert

Florian Streibelt
On Mo, 03 Aug 2015 at 17:31:17 +0200, Peter Heitzer wrote:

> Ist es in Postfix möglich, die Client IP im Header zu unterdrücken, wenn der
> Client sich mit SASL authentisiert hat.

ich hab da was mit regexxen gemacht, weiss aber weder ob das skaliert noch ob
es 100% immer trifft - und schön finde ich es nicht:

header_checks =   pcre:/etc/postfix/header_checks

und in in header_checks dann

/^Received:\ (from\ )(.*)(\(.*\))(.*)\(Authenticated sender: .*\)(.*by\
.*\.DOMAIN\.TLD\ .*)$/U REPLACE Received: from mail.DOMAIN.TLD (Remote
address hidden)$4(Authenticated sender: yes)$5

DOMAIN und TLD sind anzupassen, das versteckt dann auch noch ein bischen mehr,
ob das gut ist oder nicht, keine Ahung - ich wollte vermeiden, dass Emfpänger
die (externe) IP sehen, weil einige Leute auf ihren IPs zu Hause durchaus
Dienste anbieten und ich das für ein privacy feature halte.

Fürs Debuggign erfährt ein Empfänger trotzdem, dass ich in meinen Logs wohl
den user kenne und ermitteln kann und welches mailsystem das war - SASL mache
ich nur auf einem Hostnamen, und der lautet mail.DOMAIN.TLD

/Florian