Fwd: Remetente e destinatario iguais

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
20 messages Options
Reply | Threaded
Open this post in threaded view
|

Fwd: Remetente e destinatario iguais

Farley Piva
Bom dia turma! Todos bem?!


   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Fwd: Remetente e destinatario iguais

Rafael Turazzi
Bom dia Farley,
Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.
Abre o fonte da mensagem e verás que o FROM é diferente.
Abs
Rafael

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:
Bom dia turma! Todos bem?!


   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




--
-----
Rafael Turazzi Moreira


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Fwd: Remetente e destinatario iguais

Joao Marcucci
In reply to this post by Farley Piva
Bom dia Farley, tudo bem?

Cara, acredito que implementando a politica SPF no seu servidor resolveria o problema.

[]'s

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:
Bom dia turma! Todos bem?!


   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

RES: Fwd: Remetente e destinatario iguais

Rafael Stein
In reply to this post by Rafael Turazzi

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: Fwd: Remetente e destinatario iguais

Farley Piva
Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

RES: RES: Fwd: Remetente e destinatario iguais

Rafael Stein

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Farley Piva
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Farley Piva
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Julio Cesar Covolato
Farley,

Seu SPF deve estar permissivo (~ALL), ou em teste(?ALL).
O correto é configurar como "FAIL (-ALL)
E, lógico, veja se seu postfix está habilitado para fazer checagem SPF.

De uma olhada em:
http://www.openspf.org/SPF_Record_Syntax

Verifique com o comando:

#$ host -t txt dominio.com.br
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 12:04, Farley Piva escreveu:
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Aguimar Rezende Junior Rezende

Postei uma dica sobre isso um tempo atrás vejam:

http://listas.softwarelivre.org/pipermail/postfix-br/2013-July/000891.html

Em 02/03/2016 12:33, Julio Cesar Covolato escreveu:
Farley,

Seu SPF deve estar permissivo (~ALL), ou em teste(?ALL).
O correto é configurar como "FAIL (-ALL)
E, lógico, veja se seu postfix está habilitado para fazer checagem SPF.

De uma olhada em:
http://www.openspf.org/SPF_Record_Syntax

Verifique com o comando:

#$ host -t txt dominio.com.br
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 12:04, Farley Piva escreveu:
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Farley Piva
In reply to this post by Julio Cesar Covolato
Fala Julio!

   Tenho o spf configurado com -ALL, e a checagem ativa no postfix.
   Fiz algumas validações pra me certificar, e a configuração do mesmo está correta.

Aguimar, já tenho o check_sender_acces configurado.... tá muito estranho isso... não entendo como pode estar passando.

Em 2 de março de 2016 12:33, Julio Cesar Covolato <[hidden email]> escreveu:
Farley,

Seu SPF deve estar permissivo (~ALL), ou em teste(?ALL).
O correto é configurar como "FAIL (-ALL)
E, lógico, veja se seu postfix está habilitado para fazer checagem SPF.

De uma olhada em:
http://www.openspf.org/SPF_Record_Syntax

Verifique com o comando:

#$ host -t txt dominio.com.br
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: <a href="tel:55-11-3129-3366" value="+551131293366" target="_blank">55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 12:04, Farley Piva escreveu:
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email][hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email][hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email][hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email][hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email][hidden email] [mailto:[hidden email][hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email][hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email][hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email][hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Aguimar Rezende Junior Rezende
Estranho mesmo, estive pensando aqui se colocar o header_checks resolve, mas e se o usuário enviar um email pra ele mesmo ?


Em 02/03/2016 14:46, Farley Piva escreveu:
Fala Julio!

   Tenho o spf configurado com -ALL, e a checagem ativa no postfix.
   Fiz algumas validações pra me certificar, e a configuração do mesmo está correta.

Aguimar, já tenho o check_sender_acces configurado.... tá muito estranho isso... não entendo como pode estar passando.

Em 2 de março de 2016 12:33, Julio Cesar Covolato <[hidden email]> escreveu:
Farley,

Seu SPF deve estar permissivo (~ALL), ou em teste(?ALL).
O correto é configurar como "FAIL (-ALL)
E, lógico, veja se seu postfix está habilitado para fazer checagem SPF.

De uma olhada em:
http://www.openspf.org/SPF_Record_Syntax

Verifique com o comando:

#$ host -t txt dominio.com.br
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: <a moz-do-not-send="true" href="tel:55-11-3129-3366" value="+551131293366" target="_blank">55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 12:04, Farley Piva escreveu:
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Farley Piva
Neste momento, acho válido colocar.... pelo menos até identificar como está passando.
Sabe dizer como ficaria esta regra no heaeder_checks?

Obrigado.

Em 2 de março de 2016 14:49, Aguimar Rezende Junior <[hidden email]> escreveu:
Estranho mesmo, estive pensando aqui se colocar o header_checks resolve, mas e se o usuário enviar um email pra ele mesmo ?



Em 02/03/2016 14:46, Farley Piva escreveu:
Fala Julio!

   Tenho o spf configurado com -ALL, e a checagem ativa no postfix.
   Fiz algumas validações pra me certificar, e a configuração do mesmo está correta.

Aguimar, já tenho o check_sender_acces configurado.... tá muito estranho isso... não entendo como pode estar passando.

Em 2 de março de 2016 12:33, Julio Cesar Covolato <[hidden email]> escreveu:
Farley,

Seu SPF deve estar permissivo (~ALL), ou em teste(?ALL).
O correto é configurar como "FAIL (-ALL)
E, lógico, veja se seu postfix está habilitado para fazer checagem SPF.

De uma olhada em:
http://www.openspf.org/SPF_Record_Syntax

Verifique com o comando:

#$ host -t txt dominio.com.br
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: <a href="tel:55-11-3129-3366" value="+551131293366" target="_blank">55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 12:04, Farley Piva escreveu:
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email][hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email][hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email][hidden email] [mailto:[hidden email][hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email][hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email][hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email][hidden email] [mailto:[hidden email][hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email][hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email][hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email][hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email][hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Julio Cesar Covolato
In reply to this post by Farley Piva
Então faz o seguinte:

No main.cf:

smtpd_recipient_restrictions =
        permit_mynetworks       
        permit_sasl_authenticated
        check_sender_access hash:/etc/postfix/sender_access
           ...
            ...

No /etc/postfix/sender_access

meudominio.com.br    REJECT
meu_outro_dominio.com.br   REJECT
esse_pode.com.br    OK

$# postmap /etc/postfix/sender_access
$# postfix reload

Assim, só será aceito mensagens FROM seu domínio se forem enviadas via rede local ou se forem autenticadas.

Att.
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 14:46, Farley Piva escreveu:
Fala Julio!

   Tenho o spf configurado com -ALL, e a checagem ativa no postfix.
   Fiz algumas validações pra me certificar, e a configuração do mesmo está correta.

Aguimar, já tenho o check_sender_acces configurado.... tá muito estranho isso... não entendo como pode estar passando.

Em 2 de março de 2016 12:33, Julio Cesar Covolato <[hidden email]> escreveu:
Farley,

Seu SPF deve estar permissivo (~ALL), ou em teste(?ALL).
O correto é configurar como "FAIL (-ALL)
E, lógico, veja se seu postfix está habilitado para fazer checagem SPF.

De uma olhada em:
http://www.openspf.org/SPF_Record_Syntax

Verifique com o comando:

#$ host -t txt dominio.com.br
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: <a moz-do-not-send="true" href="tel:55-11-3129-3366" value="+551131293366" target="_blank">55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 12:04, Farley Piva escreveu:
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email] [mailto:[hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: RES: RES: Fwd: Remetente e destinatario iguais

Francisco Wagner C. Freire
Usa dmarc é dorme tranquilo :)





2016-03-02 17:27 GMT-03:00 Julio Cesar Covolato <[hidden email]>:
Então faz o seguinte:

No main.cf:

smtpd_recipient_restrictions =
        permit_mynetworks       
        permit_sasl_authenticated
        check_sender_access hash:/etc/postfix/sender_access
           ...
            ...

No /etc/postfix/sender_access

meudominio.com.br    REJECT
meu_outro_dominio.com.br   REJECT
esse_pode.com.br    OK

$# postmap /etc/postfix/sender_access
$# postfix reload

Assim, só será aceito mensagens FROM seu domínio se forem enviadas via rede local ou se forem autenticadas.

Att.
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: 55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 14:46, Farley Piva escreveu:
Fala Julio!

   Tenho o spf configurado com -ALL, e a checagem ativa no postfix.
   Fiz algumas validações pra me certificar, e a configuração do mesmo está correta.

Aguimar, já tenho o check_sender_acces configurado.... tá muito estranho isso... não entendo como pode estar passando.

Em 2 de março de 2016 12:33, Julio Cesar Covolato <[hidden email]> escreveu:
Farley,

Seu SPF deve estar permissivo (~ALL), ou em teste(?ALL).
O correto é configurar como "FAIL (-ALL)
E, lógico, veja se seu postfix está habilitado para fazer checagem SPF.

De uma olhada em:
http://www.openspf.org/SPF_Record_Syntax

Verifique com o comando:

#$ host -t txt dominio.com.br
-----------------------------
    _    Engº Julio Cesar Covolato
   0v0   [hidden email]
  /(_)\  F: <a href="tel:55-11-3129-3366" value="+551131293366" target="_blank">55-11-3129-3366
   ^ ^   PSI INTERNET
-----------------------------
Em 02/03/2016 12:04, Farley Piva escreveu:
Vejam o log de uma das conexões...
Existe alguma regra no postfix que valida esta situação?

postfix/smtpd[1237]: warning: 82.208.202.139: hostname pttnetadsl100-139.ptt.rs verification failed: Name or service not known
postfix/smtpd[1237]: connect from unknown[82.208.202.139]
postfix/smtpd[1237]: 80176130742: client=unknown[82.208.202.139]


Em 2 de março de 2016 11:56, Farley Piva <[hidden email][hidden email]> escreveu:
Pensei em bloquear pelo header_checks emails com from e to iguais...

Em 2 de março de 2016 11:20, Rafael Stein <[hidden email][hidden email]> escreveu:

Mas spf não pegaria mesmo pois na verdade a informação que você olha esta “marretada” no corpo do email.

 

De: [hidden email][hidden email] [mailto:[hidden email][hidden email]] Em nome de Farley Piva
Enviada em: quarta-feira, 2 de março de 2016 11:18
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email][hidden email]>
Assunto: Re: [Postfix-br] RES: Fwd: Remetente e destinatario iguais

 

Exato, a origem e externa... o que está me incomodando é que tenho spf e mesmo assim está passando... relay aberto também não é.

 

Em 2 de março de 2016 10:44, Rafael Stein <[hidden email][hidden email]> escreveu:

Eles alteram pelo próprio body da mensagem, com isso parece que foi você que enviou mas na verdade no header você ve que não foi.

 

De: [hidden email][hidden email] [mailto:[hidden email][hidden email]] Em nome de Rafael Turazzi
Enviada em: quarta-feira, 2 de março de 2016 10:42
Para: Lista de administradores de servidores Postfix do Brasil <[hidden email][hidden email]>
Assunto: Re: [Postfix-br] Fwd: Remetente e destinatario iguais

 

Bom dia Farley,

Se você abrir a mensagem, verá que a origem é externa, ou seja, os spammers alteram apenas o cabeçalho para parecer que é email interno, o que na maioria das vezes não é.

Abre o fonte da mensagem e verás que o FROM é diferente.

Abs

Rafael

 

Em 2 de março de 2016 10:32, Farley Piva <[hidden email][hidden email]> escreveu:

Bom dia turma! Todos bem?!

   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.

   Meu relay está fechado... com qual parametro consigo validar essa situação?

Obrigado.

 


_______________________________________________
Postfix-br mailing list
[hidden email][hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



 

--

-----

Rafael Turazzi Moreira

 


_______________________________________________
Postfix-br mailing list
[hidden email][hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

 


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br





_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br




_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Fwd: Remetente e destinatario iguais

Márcio Merlone
In reply to this post by Farley Piva
Em 02-03-2016 10:32, Farley Piva escreveu:
   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Eu tenho dois servidores:
- MX
- SMTP

Meus usuários só enviam se autenticar e somente pelo servidor SMTP. Desta forma, nunca terei um email com from de meu domínio passando pelo MX. No spamassassin do MX criei uma regra que testa: se from do meu domínio e não tem cabeçalho received com meu servidor, soma 100 pontos, vai pro limbo.

# Mensagens com From: @dominio têm que passar pelo smtp.dominio.
header      __A1_FROM_A1        From =~ /\@dominio/i
header      __A1_RECEIVED_A1    Received =~ /smtp\.dominio/i
meta        A1_FORGED_FROM_A1   (__A1_FROM_A1 && !__A1_RECEIVED_A1)
score       A1_FORGED_FROM_A1   100
describe    A1_FORGED_FROM_A1   From forjado

Resolvido, 0 FP, 100% OK.

--
Marcio Merlone

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Fwd: Remetente e destinatario iguais

Aguimar Rezende Junior Rezende
Mas isso funciona também onde o mx e smtp estão juntos?

Em 4 de março de 2016 11:52:27 BRT, Marcio Vogel Merlone dos Santos <[hidden email]> escreveu:
Em 02-03-2016 10:32, Farley Piva escreveu:
   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Eu tenho dois servidores:
- MX
- SMTP

Meus usuários só enviam se autenticar e somente pelo servidor SMTP. Desta forma, nunca terei um email com from de meu domínio passando pelo MX. No spamassassin do MX criei uma regra que testa: se from do meu domínio e não tem cabeçalho received com meu servidor, soma 100 pontos, vai pro limbo.

# Mensagens com From: @dominio têm que passar pelo smtp.dominio.
header      __A1_FROM_A1        From =~ /\@dominio/i
header      __A1_RECEIVED_A1    Received =~ /smtp\.dominio/i
meta        A1_FORGED_FROM_A1   (__A1_FROM_A1 && !__A1_RECEIVED_A1)
score       A1_FORGED_FROM_A1   100
describe    A1_FORGED_FROM_A1   From forjado

Resolvido, 0 FP, 100% OK.

--
Marcio Merlone



Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Fwd: Remetente e destinatario iguais

Aguimar Rezende Junior Rezende
In reply to this post by Márcio Merlone
E se for vários domínios Marcio ? Como eu testo as regras ?


Em 04/03/2016 11:52, Marcio Vogel Merlone dos Santos escreveu:
Em 02-03-2016 10:32, Farley Piva escreveu:
   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Eu tenho dois servidores:
- MX
- SMTP

Meus usuários só enviam se autenticar e somente pelo servidor SMTP. Desta forma, nunca terei um email com from de meu domínio passando pelo MX. No spamassassin do MX criei uma regra que testa: se from do meu domínio e não tem cabeçalho received com meu servidor, soma 100 pontos, vai pro limbo.

# Mensagens com From: @dominio têm que passar pelo smtp.dominio.
header      __A1_FROM_A1        From =~ /\@dominio/i
header      __A1_RECEIVED_A1    Received =~ /smtp\.dominio/i
meta        A1_FORGED_FROM_A1   (__A1_FROM_A1 && !__A1_RECEIVED_A1)
score       A1_FORGED_FROM_A1   100
describe    A1_FORGED_FROM_A1   From forjado

Resolvido, 0 FP, 100% OK.

--
Marcio Merlone


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Fwd: Remetente e destinatario iguais

Márcio Merlone
Olá,

Eu só tenho um dominio com que me preocupar, então fica bem fácil. Pra vários domínios acho que seria melhor implementar um SQL ou LDAP pra ter controle, mas teria que ver como isso escala, mas a lógica da regra permanece a mesma.

Sds.

Em 04-03-2016 15:29, Aguimar Rezende Junior escreveu:
E se for vários domínios Marcio ? Como eu testo as regras ?


Em 04/03/2016 11:52, Marcio Vogel Merlone dos Santos escreveu:
Em 02-03-2016 10:32, Farley Piva escreveu:
   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Eu tenho dois servidores:
- MX
- SMTP

Meus usuários só enviam se autenticar e somente pelo servidor SMTP. Desta forma, nunca terei um email com from de meu domínio passando pelo MX. No spamassassin do MX criei uma regra que testa: se from do meu domínio e não tem cabeçalho received com meu servidor, soma 100 pontos, vai pro limbo.

# Mensagens com From: @dominio têm que passar pelo smtp.dominio.
header      __A1_FROM_A1        From =~ /\@dominio/i
header      __A1_RECEIVED_A1    Received =~ /smtp\.dominio/i
meta        A1_FORGED_FROM_A1   (__A1_FROM_A1 && !__A1_RECEIVED_A1)
score       A1_FORGED_FROM_A1   100
describe    A1_FORGED_FROM_A1   From forjado

Resolvido, 0 FP, 100% OK.

--
Marcio Merlone


_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br



_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br

--
Marcio Merlone
TI - Administrador de redes

A1 Engenharia - Unidade Corporativa
Fone: +55 41 3616-3797
Cel: +55 41 9689-0036
http://www.a1.ind.br/

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
Reply | Threaded
Open this post in threaded view
|

Re: Fwd: Remetente e destinatario iguais

Márcio Merlone
In reply to this post by Aguimar Rezende Junior Rezende
Olá,

Se seus usuários somente utilizarem a porta 587 com autenticação (submission) e a porta 25 (smtp) estiver destinada apenas a recebimento de mensagens externas dá sim, sem problemas. A porta 587 aceita qualquer mensagem desde que autenticado e a 25 faz todo o trabalho pesado de spam e virus, incluindo esta regra.

Sds.

Em 04-03-2016 12:12, Junior Plug Tecnologia escreveu:
Mas isso funciona também onde o mx e smtp estão juntos?

Em 4 de março de 2016 11:52:27 BRT, Marcio Vogel Merlone dos Santos [hidden email] escreveu:
Em 02-03-2016 10:32, Farley Piva escreveu:
   Vejam se conseguem me dar uma dica... estamos recebendo emails fraudulentos aonde o from é igual ao to e que são emails do meu domínio.
   Meu relay está fechado... com qual parametro consigo validar essa situação?

Eu tenho dois servidores:
- MX
- SMTP

Meus usuários só enviam se autenticar e somente pelo servidor SMTP. Desta forma, nunca terei um email com from de meu domínio passando pelo MX. No spamassassin do MX criei uma regra que testa: se from do meu domínio e não tem cabeçalho received com meu servidor, soma 100 pontos, vai pro limbo.

# Mensagens com From: @dominio têm que passar pelo smtp.dominio.
header      __A1_FROM_A1        From =~ /\@dominio/i
header      __A1_RECEIVED_A1    Received =~ /smtp\.dominio/i
meta        A1_FORGED_FROM_A1   (__A1_FROM_A1 && !__A1_RECEIVED_A1)
score       A1_FORGED_FROM_A1   100
describe    A1_FORGED_FROM_A1   From forjado

Resolvido, 0 FP, 100% OK.

--
Marcio Merlone

Postfix-br mailing list [hidden email] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
-- E-mail enviado do meu celular Android usando K-9 Mail. Por favor, desculpe minha brevidade.
--
Marcio Merlone TI - Administrador de redes A1 Engenharia - Unidade Corporativa
Fone:+55 41 3616-3797
Cel:+55 41 9689-0036
http://www.a1.ind.br/

_______________________________________________
Postfix-br mailing list
[hidden email]
http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br