FROM Adresse in DATA Phase testen.

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

FROM Adresse in DATA Phase testen.

Peter Heitzer
Wir betreiben für unsere Benutzer mehrere MTAs, an denen sie via Submission
(Port 587) authentisiert Mail versenden können.
Dazu haben wir zusätzlich in main.cf

smtpd_sender_login_maps = hash:/etc/postfix/login_maps

aktiviert, damit die Benutzer (oder ein Hacker mit deren Credentials) nicht
mit beliebigen Absenderadressen Mails verschicken.
Leider bezieht sich das nur auf die Sendeadressen, die mit MAIL FROM beim
Verbindungsaufbau angegeben werden.
Wird in der DATA Phase eine beliebige From: Adresse angegeben, so findet keine
Verifikation mehr statt und diese evtl. gefälschte
Adresse wird beim Empfänger dann so angezeigt. Lediglich im Mailheader findet
sich noch in Return-Path: die echte Absenderadresse,
welche aber bei einem Flatforward verloren geht.

ONU hat jedenfalls Schwierigkeiten, den originalen Absender sicher zu
erkennen.

Was uns vorschwebt, wäre eine Methode, die auch als From: Adressen in der DATA
Phase nur die zu dem Account zugeordneten Adressen
akzeptiert.
Ist dies mit Postfix internen Mitteln möglich oder bedarf es dazu externer
Erweiterungen, z.B. postfwd?





----
Dipl.-Inform(FH) Peter Heitzer, [hidden email]

Reply | Threaded
Open this post in threaded view
|

Re: FROM Adresse in DATA Phase testen.

Patrick Ben Koetter-2
* Peter Heitzer <[hidden email]>:

> Wir betreiben für unsere Benutzer mehrere MTAs, an denen sie via Submission
> (Port 587) authentisiert Mail versenden können.
> Dazu haben wir zusätzlich in main.cf
>
> smtpd_sender_login_maps = hash:/etc/postfix/login_maps
>
> aktiviert, damit die Benutzer (oder ein Hacker mit deren Credentials) nicht
> mit beliebigen Absenderadressen Mails verschicken.
> Leider bezieht sich das nur auf die Sendeadressen, die mit MAIL FROM beim
> Verbindungsaufbau angegeben werden.
> Wird in der DATA Phase eine beliebige From: Adresse angegeben, so findet keine
> Verifikation mehr statt und diese evtl. gefälschte
> Adresse wird beim Empfänger dann so angezeigt. Lediglich im Mailheader findet
> sich noch in Return-Path: die echte Absenderadresse,
> welche aber bei einem Flatforward verloren geht.
>
> ONU hat jedenfalls Schwierigkeiten, den originalen Absender sicher zu
> erkennen.
>
> Was uns vorschwebt, wäre eine Methode, die auch als From: Adressen in der DATA
> Phase nur die zu dem Account zugeordneten Adressen
> akzeptiert.
> Ist dies mit Postfix internen Mitteln möglich oder bedarf es dazu externer
> Erweiterungen, z.B. postfwd?

Sieh Dir mal Christians https://github.com/croessner/vrfydmn an. Der geht
anders vor, könnte AFAIR zum gewünschen Ergebnis führen.

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: FROM Adresse in DATA Phase testen.

Walter H.
On Tue, June 11, 2019 23:56, Patrick Ben Koetter wrote:

> * Peter Heitzer <[hidden email]>:
>> Wir betreiben für unsere Benutzer mehrere MTAs, an denen sie via
>> Submission
>> (Port 587) authentisiert Mail versenden können.
>> Dazu haben wir zusätzlich in main.cf
>>
>> smtpd_sender_login_maps = hash:/etc/postfix/login_maps
>>
>> aktiviert, damit die Benutzer (oder ein Hacker mit deren Credentials)
>> nicht
>> mit beliebigen Absenderadressen Mails verschicken.
>> Leider bezieht sich das nur auf die Sendeadressen, die mit MAIL FROM
>> beim
>> Verbindungsaufbau angegeben werden.
>> Wird in der DATA Phase eine beliebige From: Adresse angegeben, so findet
>> keine
>> Verifikation mehr statt und diese evtl. gefälschte
>> Adresse wird beim Empfänger dann so angezeigt. Lediglich im Mailheader
>> findet
>> sich noch in Return-Path: die echte Absenderadresse,
>> welche aber bei einem Flatforward verloren geht.
>>
>> ONU hat jedenfalls Schwierigkeiten, den originalen Absender sicher zu
>> erkennen.
>>
>> Was uns vorschwebt, wäre eine Methode, die auch als From: Adressen in
>> der DATA
>> Phase nur die zu dem Account zugeordneten Adressen
>> akzeptiert.
>> Ist dies mit Postfix internen Mitteln möglich oder bedarf es dazu
>> externer
>> Erweiterungen, z.B. postfwd?
>
> Sieh Dir mal Christians https://github.com/croessner/vrfydmn an. Der geht
> anders vor, könnte AFAIR zum gewünschen Ergebnis führen.
>
derartiges hat nicht nur bei ausgehenden Mail Servern seinen Sinn, sondern
bei allen:

wenn From Header nicht mit MAIL FROM Envelope korreliert -> REJECT


Reply | Threaded
Open this post in threaded view
|

Re: FROM Adresse in DATA Phase testen.

Robert Schetterer-2
In reply to this post by Peter Heitzer
Am 11.06.19 um 17:52 schrieb Peter Heitzer:

> Wir betreiben für unsere Benutzer mehrere MTAs, an denen sie via Submission
> (Port 587) authentisiert Mail versenden können.
> Dazu haben wir zusätzlich in main.cf
>
> smtpd_sender_login_maps = hash:/etc/postfix/login_maps
>
> aktiviert, damit die Benutzer (oder ein Hacker mit deren Credentials) nicht
> mit beliebigen Absenderadressen Mails verschicken.
> Leider bezieht sich das nur auf die Sendeadressen, die mit MAIL FROM beim
> Verbindungsaufbau angegeben werden.
> Wird in der DATA Phase eine beliebige From: Adresse angegeben, so findet keine
> Verifikation mehr statt und diese evtl. gefälschte
> Adresse wird beim Empfänger dann so angezeigt. Lediglich im Mailheader findet
> sich noch in Return-Path: die echte Absenderadresse,
> welche aber bei einem Flatforward verloren geht.
>
> ONU hat jedenfalls Schwierigkeiten, den originalen Absender sicher zu
> erkennen.
>
> Was uns vorschwebt, wäre eine Methode, die auch als From: Adressen in der DATA
> Phase nur die zu dem Account zugeordneten Adressen
> akzeptiert.
> Ist dies mit Postfix internen Mitteln möglich oder bedarf es dazu externer
> Erweiterungen, z.B. postfwd?
>
>
>
>
>
> ----
> Dipl.-Inform(FH) Peter Heitzer, [hidden email]
>

evtl willst du dies etwas wie dies hier

https://github.com/magcks/milterfrom

passt zwar nicht genau, konnte aber dein Problem trotzdem loesen

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein