Gefälschte Absender können interne Verteilerlisten erreichen

classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Gefälschte Absender können interne Verteilerlisten erreichen

Claas Goltz
Hallo Kollegen,

ich habe seit ein paar Tagen ein Problem mit einem Spammer. Er ist
Adressinformationen von uns gekommen und nutzt tatsächlich existierende
Adressen als Absender, um unter anderem interne Verteilerlisten
erreichen, die sonst geschützt sind.

Im Header der spam stehen

Genauer: wenn eine externe Domain eine EMail an meine Verteiler
schreibt, wird sie erwartungsgemäß geblockt. Fälscht der Absender die
Absender Domain, wird sie durchgelassen. Fehlt eine configzeile bei mir?!

main.cf
(...)
# Interne Listen von extern schuetzen
insiders_only = check_sender_access hash:/etc/postfix/insiders, reject
(...)
smtpd_recipient_restrictions =
# Empfaenger whitelisten?
         check_recipient_access hash:/etc/postfix/access_recipient,
# Hosts und Absender blacklisten?
         check_client_access cidr:/etc/postfix/access_client,
         check_helo_access hash:/etc/postfix/access_helo,
         check_sender_access hash:/etc/postfix/access_sender,
         check_recipient_access hash:/etc/postfix/protected_destinations,

Die Datei "proteced_destinations" ist mit Verteilerlisten gefüllt, in
der "access_sender" und "insiders" stehen meine Domains.

Wie kann ich nun verhindern, das ein Absender außerhalb meiner bekannten
Netzwerke hier zustellen darf?

Danke!

Ich schreibe hier noch meine main.cf:

smtp_helo_name = mx1.domain.de
myhostname = de-hb-mx0.domain.de
inet_protocols = ipv4
smtpd_banner = mx1.domain.de ESMTP $mail_name
biff = no
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
delay_warning_time = 4h
readme_directory = no
bounce_queue_lifetime = 3d
maximal_queue_lifetime = 3d
## TLS parameters
# empfang
smtpd_tls_key_file = /etc/ssl/domain/domain.de.key
smtpd_tls_cert_file = /etc/ssl/domain/mx0.fullchain.pem
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_security_level = may
# senden
smtp_tls_key_file = $smtpd_tls_key_file
smtp_tls_cert_file = $smtpd_tls_cert_file
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_security_level = may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_eecdh_grade = strong
tls_preempt_cipherlist = yes
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated
defer_unauth_destination
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mx1.domain.de, de-hb-mx0.domain.de,
localhost.contact.de, localhost
#relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 (diverse,
interne IP's)
inet_interfaces = all
relay_domains = hash:/etc/postfix/relay_domains,
transport_maps = hash:/etc/postfix/transport_maps, $relay_domains
unverified_recipient_reject_code = 599
message_size_limit = 41943040
# selective greylisting
smtpd_restriction_classes = check_greylist, insiders_only
check_greylist = check_policy_service inet:127.0.0.1:10023

# Interne Listen von extern schuetzen
insiders_only = check_sender_access hash:/etc/postfix/insiders, reject

strict_rfc821_envelopes = yes
smtpd_helo_required = yes

address_verify_map = btree:/var/lib/postfix/verify
header_checks = regexp:/etc/postfix/header_checks
smtpd_recipient_restrictions =
# Empfaenger whitelisten?
         check_recipient_access hash:/etc/postfix/access_recipient,
# Hosts und Absender blacklisten?
         check_client_access cidr:/etc/postfix/access_client,
         check_helo_access hash:/etc/postfix/access_helo,
         check_sender_access hash:/etc/postfix/access_sender,
     check_recipient_access hash:/etc/postfix/protected_destinations,
# Keine unsauberen Mails annehmen!
         reject_non_fqdn_sender,
         reject_non_fqdn_recipient,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
         reject_invalid_hostname,
# Unsere Kinderchens erlauben!
         permit_sasl_authenticated,
         permit_mynetworks,
# RBL checken!
         reject_rbl_client zen.spamhaus.org,
         reject_rbl_client ix.dnsbl.manitu.net,
# Policyd-weight
         check_policy_service inet:127.0.0.1:12525
# Greylisting checken!
         check_client_access regexp:/etc/postfix/check_client_greylist
     #check_policy_service inet:127.0.0.1:10023
# Dynamische Empfaengervalidierung
     reject_unverified_recipient,
# Backup MX erlauben!
         permit_mx_backup,
# Alles andere Relaying verbieten!
         reject_unauth_destination,
# Was jetzt noch ist darf durch!
         permit

--
Herr Claas Goltz

IT-Systemadministrator

CONTACT Software GmbH
Wiener Straße 1–3, 28359 Bremen, Germany
T +49 421 20153-27
F +49 421 20153-41

mailto:[hidden email]
www.contact-software.com

Registered office: Bremen, Germany
Managing directors: Karl Heinz Zachries, Ralf Holtgrefe
Court of register: Amtsgericht Bremen HRB 13215

Reply | Threaded
Open this post in threaded view
|

Re: Gefälschte Absender können interne Verteilerlisten erreichen

Paul-2
Hallo Claas,

Am 18.09.2018 um 09:13 schrieb Claas Goltz:

> Hallo Kollegen,
>
> ich habe seit ein paar Tagen ein Problem mit einem Spammer. Er ist
> Adressinformationen von uns gekommen und nutzt tatsächlich existierende
> Adressen als Absender, um unter anderem interne Verteilerlisten
> erreichen, die sonst geschützt sind.
>
> Im Header der spam stehen
>
> Genauer: wenn eine externe Domain eine EMail an meine Verteiler
> schreibt, wird sie erwartungsgemäß geblockt. Fälscht der Absender die
> Absender Domain, wird sie durchgelassen. Fehlt eine configzeile bei mir?!
>
> main.cf
> (...)
> # Interne Listen von extern schuetzen
> insiders_only = check_sender_access hash:/etc/postfix/insiders, reject
> (...)
> smtpd_recipient_restrictions =
> # Empfaenger whitelisten?
>         check_recipient_access hash:/etc/postfix/access_recipient,
> # Hosts und Absender blacklisten?
>         check_client_access cidr:/etc/postfix/access_client,
>         check_helo_access hash:/etc/postfix/access_helo,
>         check_sender_access hash:/etc/postfix/access_sender,
>         check_recipient_access hash:/etc/postfix/protected_destinations,
>
> Die Datei "proteced_destinations" ist mit Verteilerlisten gefüllt, in
> der "access_sender" und "insiders" stehen meine Domains.
>
> Wie kann ich nun verhindern, das ein Absender außerhalb meiner bekannten
> Netzwerke hier zustellen darf?
>
> Danke!

Wahrscheinlich ist der Fehler, dass check_sender_access
hash:/etc/postfix/access_sender und check_recipient_access
hash:/etc/postfix/protected_destinations zu früh verarbeitet werden.
Ich gehe mal davon aus, dass du dir kein Openrelay gebaut hast, für
Mails mit deiner Domain als Absenderadresse.
Auch vorausgesetzt, die SpammerIPs liefern nicht per mynetworks und
sasl_authenticated ein, dann empfehle ich:

1. Datei erstellen:
zieladressen_die_von_extern_nicht_angeschrieben_werden_duerfen_recipient:
mydomain1.com REJECT
[hidden email] REJECT
...

2. Korrektes Platzieren in der
main.cf:
...
permit_sasl_authenticated,
permit_mynetworks
check_recipient_access
hash:zieladressen_die_von_extern_nicht_angeschrieben_werden_duerfen_recipient
..

3. Ggfs Deaktivieren der alten Regeln in der main.cf
...
#check_sender_access hash:/etc/postfix/access_sender,
#check_recipient_access hash:/etc/postfix/protected_destinations,

Gruß,
Paul


>
> Ich schreibe hier noch meine main.cf:
>
> smtp_helo_name = mx1.domain.de
> myhostname = de-hb-mx0.domain.de
> inet_protocols = ipv4
> smtpd_banner = mx1.domain.de ESMTP $mail_name
> biff = no
> append_dot_mydomain = no
> # Uncomment the next line to generate "delayed mail" warnings
> delay_warning_time = 4h
> readme_directory = no
> bounce_queue_lifetime = 3d
> maximal_queue_lifetime = 3d
> ## TLS parameters
> # empfang
> smtpd_tls_key_file = /etc/ssl/domain/domain.de.key
> smtpd_tls_cert_file = /etc/ssl/domain/mx0.fullchain.pem
> smtp_tls_CApath = /etc/ssl/certs
> smtpd_tls_security_level = may
> # senden
> smtp_tls_key_file = $smtpd_tls_key_file
> smtp_tls_cert_file = $smtpd_tls_cert_file
> smtp_tls_CApath = /etc/ssl/certs
> smtp_tls_security_level = may
> smtpd_tls_loglevel = 1
> smtp_tls_loglevel = 1
> smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
> smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
> smtpd_tls_eecdh_grade = strong
> tls_preempt_cipherlist = yes
> smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated
> defer_unauth_destination
> alias_maps = hash:/etc/aliases
> alias_database = hash:/etc/aliases
> myorigin = /etc/mailname
> mydestination = mx1.domain.de, de-hb-mx0.domain.de,
> localhost.contact.de, localhost
> #relayhost =
> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 (diverse,
> interne IP's)
> inet_interfaces = all
> relay_domains = hash:/etc/postfix/relay_domains,
> transport_maps = hash:/etc/postfix/transport_maps, $relay_domains
> unverified_recipient_reject_code = 599
> message_size_limit = 41943040
> # selective greylisting
> smtpd_restriction_classes = check_greylist, insiders_only
> check_greylist = check_policy_service inet:127.0.0.1:10023
>
> # Interne Listen von extern schuetzen
> insiders_only = check_sender_access hash:/etc/postfix/insiders, reject
>
> strict_rfc821_envelopes = yes
> smtpd_helo_required = yes
>
> address_verify_map = btree:/var/lib/postfix/verify
> header_checks = regexp:/etc/postfix/header_checks
> smtpd_recipient_restrictions =
> # Empfaenger whitelisten?
>         check_recipient_access hash:/etc/postfix/access_recipient,
> # Hosts und Absender blacklisten?
>         check_client_access cidr:/etc/postfix/access_client,
>         check_helo_access hash:/etc/postfix/access_helo,
>         check_sender_access hash:/etc/postfix/access_sender,
>     check_recipient_access hash:/etc/postfix/protected_destinations,
> # Keine unsauberen Mails annehmen!
>         reject_non_fqdn_sender,
>         reject_non_fqdn_recipient,
>         reject_unknown_sender_domain,
>         reject_unknown_recipient_domain,
>         reject_invalid_hostname,
> # Unsere Kinderchens erlauben!
>         permit_sasl_authenticated,
>         permit_mynetworks,
> # RBL checken!
>         reject_rbl_client zen.spamhaus.org,
>         reject_rbl_client ix.dnsbl.manitu.net,
> # Policyd-weight
>         check_policy_service inet:127.0.0.1:12525
> # Greylisting checken!
>         check_client_access regexp:/etc/postfix/check_client_greylist
>     #check_policy_service inet:127.0.0.1:10023
> # Dynamische Empfaengervalidierung
>     reject_unverified_recipient,
> # Backup MX erlauben!
>         permit_mx_backup,
> # Alles andere Relaying verbieten!
>         reject_unauth_destination,
> # Was jetzt noch ist darf durch!
>         permit
>