Mailrelay und Absenderfälschungen

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

Mailrelay und Absenderfälschungen

sschieke
Hallo in die Runde,

wir haben ein Postfix Mailrelay, das vor einem Groupwareserver steht. Es nimmt eingehende Mails "von außen" entgegen und leitet sie an die Groupware weiter. Umgekehrt ist es bei der Groupware als Relayhost eingetragen. Klappt alles seit Jahr und Tag zuverlässig.

Nun beobachten wir wiederholt ziemlich "gut gemachte" Phishing Mails, der vermeintlich von einem Groupware Benutzer stammen. Nur tatsächlich kommt die Mail über das Mailrelay rein. Dieser Fall kann ja so eigentlich nicht vorkommen. Wenn interne Benutzer sich gegenseitig Mailen, ist der Relayhost schließlich gar nicht involviert. Die Groupware stellt in diesem Fall "lokal" zu.

Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen.

Habe es versucht mit:

# /etc/postfix/main.cf
smtpd_recipient_restrictions =
...
        permit_mynetworks,
        check_sender_access hash:/etc/postfix/disallow_my_domain,
...

#/etc/postfix/disallow_my_domain
tatsaechliche.de 554 You are not allowed to send!
domain.de 554 You are not allowed to send!

Hat jemand da eine Idee?

Viele Grüße

Sebastian

signature.asc (190 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Mailrelay und Absenderfälschungen

Uwe Drießen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Im Auftrag von [hidden email]

>
> Hallo in die Runde,
>
> wir haben ein Postfix Mailrelay, das vor einem Groupwareserver steht. Es
> nimmt eingehende Mails "von außen" entgegen und leitet sie an die
> Groupware weiter. Umgekehrt ist es bei der Groupware als Relayhost
> eingetragen. Klappt alles seit Jahr und Tag zuverlässig.
>
> Nun beobachten wir wiederholt ziemlich "gut gemachte" Phishing Mails, der
> vermeintlich von einem Groupware Benutzer stammen. Nur tatsächlich
> kommt die Mail über das Mailrelay rein. Dieser Fall kann ja so eigentlich nicht
> vorkommen. Wenn interne Benutzer sich gegenseitig Mailen, ist der
> Relayhost schließlich gar nicht involviert. Die Groupware stellt in diesem Fall
> "lokal" zu.
>
> Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails
> zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen.
>
> Habe es versucht mit:
>
> # /etc/postfix/main.cf
> smtpd_recipient_restrictions =
> ...
>         permit_mynetworks,
>         check_sender_access hash:/etc/postfix/disallow_my_domain,
> ...
>
> #/etc/postfix/disallow_my_domain
> tatsaechliche.de 554 You are not allowed to send!
> domain.de 554 You are not allowed to send!
>
> Hat jemand da eine Idee?
>
> Viele Grüße
>
> Sebastian

Von extern können nur eigene User kommen wenn sie sich anmelden
2. IP mit port 587  

Auf Port 25

smtpd_recipient_restrictions =
        .....
        Permit_mynetworks
        check_sender_access proxy:mysql:/etc/postfix/sql/mysql-domains.cf,

mysql:/etc/postfix/sql/mysql-domains.cf :

hosts = 10.1.0.2
user = mailuser
password = supergeheim
dbname = mailusers
query = SELECT 'reject do not use our domain, you are not allowed'  FROM domain WHERE domain_name = '%s'

so in etwa

geht auch wenn du das nach der anmeldung der eigenen User machst (permit_sasl_authenticated,)


Mit freundlichen Grüßen

Uwe Drießen
- --
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

-----BEGIN PGP SIGNATURE-----

iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlxTGeAACgkQur3LxV3c
LvxHyQf/RSmPTi/HjDc+/uE71hur1+6+bA4v++51ac5W2EqE6h4XdSO5yXLY5I+b
BsbcaNnjOwOaBbfdn0kmblALDbz2ARIKAEF62mMVwiqMZWgaC2QgmqbrlMowmov7
iJO8LjsXaxLuQiFtrKxC9sklfY9RDaO6yKidhWCAVdj6tACHvXwT4rvPXlsP9nvH
ra+9+M6MN69VI9H+IpBK1G/ir1d3NlYAP9zh0wr4X2hfw/IvPhRHdUcUdGjyZoGa
wHzwOCHz4iZaNy/MbEvRvnkMayFWRz9i5xNLLJW3V8xepnTd4LsIIYdZ4g+pwhOv
PDw33rfExliTTYwiD1d44tevDisFiQ==
=Vaj+
-----END PGP SIGNATURE-----

Reply | Threaded
Open this post in threaded view
|

AW: Mailrelay und Absenderfälschungen

Uwe Drießen
In reply to this post by sschieke
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Im Auftrag von [hidden email]
> Hat jemand da eine Idee?
>

Zeig mal Header einer solchen Mail bzw. logeintrag dazu

Das andere hast ja schon drin


Mit freundlichen Grüßen

Uwe Drießen
- --
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


-----BEGIN PGP SIGNATURE-----

iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlxTGnYACgkQur3LxV3c
LvwZwAf+Ns7olP4fttid4nZjoHMM3QleZVecsT8/fk4A1jQnzZKsNGN1LsYsICxu
Fqz0WSPvLnSlNwezjC/aBBWUuJMK0CYLImIqVJppUoUCh4GqQeRoRIJnHTdT2XHc
8O2nevyzn6uHhkW7K+phH6tIu7XVV4KL6VG2nNSp9YlhgGIqPsVtw6owavyYO2s/
bnVXbwIF8+Lh02KunUaGJTJM6s+/v65ejFbUOMMoJCQLDV7qfeBsAGxA/JOv7TPR
z0KRkApb+KrI5AXFZIrMIipkMQ5ykLyflwgS8K2WEpIS6XFAyaMTkv290Zqcwjom
awxiEL1395pY52C6qO5C2AeuCi1nrg==
=ARBI
-----END PGP SIGNATURE-----

Reply | Threaded
Open this post in threaded view
|

Re: Mailrelay und Absenderfälschungen

Carsten Rosenberg
In reply to this post by sschieke
Hey,

Meist wird bei Phishing Mails nicht der SMTP-From sondern der From in
den Headern gefälscht. Das muss dann mit header_checks oder im
Spamassassin gemacht werden.

Schau mal hier:

https://www.postfixbuch.de/upload/header_checks

Viele Grüße

Carsten

On 31.01.19 16:34, [hidden email] wrote:

> Hallo in die Runde,
>
> wir haben ein Postfix Mailrelay, das vor einem Groupwareserver steht. Es nimmt eingehende Mails "von außen" entgegen und leitet sie an die Groupware weiter. Umgekehrt ist es bei der Groupware als Relayhost eingetragen. Klappt alles seit Jahr und Tag zuverlässig.
>
> Nun beobachten wir wiederholt ziemlich "gut gemachte" Phishing Mails, der vermeintlich von einem Groupware Benutzer stammen. Nur tatsächlich kommt die Mail über das Mailrelay rein. Dieser Fall kann ja so eigentlich nicht vorkommen. Wenn interne Benutzer sich gegenseitig Mailen, ist der Relayhost schließlich gar nicht involviert. Die Groupware stellt in diesem Fall "lokal" zu.
>
> Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen.
>
> Habe es versucht mit:
>
> # /etc/postfix/main.cf
> smtpd_recipient_restrictions =
> ...
>         permit_mynetworks,
>         check_sender_access hash:/etc/postfix/disallow_my_domain,
> ...
>
> #/etc/postfix/disallow_my_domain
> tatsaechliche.de 554 You are not allowed to send!
> domain.de 554 You are not allowed to send!
>
> Hat jemand da eine Idee?
>
> Viele Grüße
>
> Sebastian
>
Reply | Threaded
Open this post in threaded view
|

Re: AW: Mailrelay und Absenderfälschungen

sschieke
In reply to this post by Uwe Drießen
Hallo Uwe,

ich bin mir nicht sicher, ob ich Dich richtig verstanden habe. Das Mailrelay nutzen die Clients selbst überhaupt nicht. Nur der Mailbenutzer des Groupware-Servers darf hier einliefern.

Die header Zeilen einer solchen Mail:

===============8<---------------------

Return-Path: <[hidden email]>
Delivered-To: <[hidden email]>
Received: from groupware.local.unsere-domain.de
        by groupware.local.unsere-domain.de (Dovecot) with LMTP id UGrmFAAYUFxkcQAASpEojg
        for <[hidden email]>; Tue, 29 Jan 2019 10:09:54 +0100
Received: from localhost (localhost [127.0.0.1])
        by groupware.local.unsere-domain.de (Postfix) with ESMTP id 6E6BD5E0D6D
        for <[hidden email]>; Tue, 29 Jan 2019 10:09:54 +0100 (CET)
X-Virus-Scanned: by amavisd-new-2.10.1 (20141025) (Debian) at
        local.unsere-domain.de
X-Spam-Flag: NO
X-Spam-Score: -0.9
X-Spam-Level:
X-Spam-Status: No, score=-0.9 tagged_above=-1000 required=4
        tests=[BAYES_00=-1.9, XM_PHPMAILER_FORGED=1]
        autolearn=no autolearn_force=no
Received: from groupware.unsere-domain.de ([127.0.0.1])
        by localhost (groupware.local.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id ObWKq4NwCZ2i for <[hidden email]>;
        Tue, 29 Jan 2019 10:09:54 +0100 (CET)
Received: from mail2.unsere-domain.de (d01.unsere-domain.de [88.99.62.48])
        by groupware.local.unsere-domain.de (Postfix) with ESMTPS id AF96D5E056B
        for <[hidden email]>; Tue, 29 Jan 2019 10:09:53 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
        by mail2.unsere-domain.de (Postfix) with ESMTP id 8FCD7DFDB0
        for <[hidden email]>; Tue, 29 Jan 2019 10:09:53 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at mail2.unsere-domain.de
Received: from mail2.unsere-domain.de ([127.0.0.1])
        by localhost (mail2.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id 3OVfVi6afs2g for <[hidden email]>;
        Tue, 29 Jan 2019 10:09:51 +0100 (CET)
Received: from smtprelay.b.hostedemail.com (smtprelay0108.b.hostedemail.com [64.98.42.108])
        by mail2.unsere-domain.de (Postfix) with ESMTPS
        for <[hidden email]>; Tue, 29 Jan 2019 10:09:51 +0100 (CET)
Received: from filter.hostedemail.com (10.5.19.248.rfc1918.com [10.5.19.248])
        by smtprelay04.b.hostedemail.com (Postfix) with ESMTP id 534DC7B611
        for <[hidden email]>; Tue, 29 Jan 2019 09:09:46 +0000 (UTC)
X-Session-Marker: 7265676361626C6179616E40686177616969616E74656C2E6E6574
X-Spam-Summary: 2,0,0,,d41d8cd98f00b204,[hidden email],:,RULES_HIT:41:355:379:541:543:882:988:989:1260:1277:1311:1313:1314:1345:1381:1515:1516:1518:1533:1536:1593:1594:1711:1714:1730:1747:1777:1792:2393:2559:2562:2828:3138:3139:3140:3141:3142:3622:3765:3876:3877:5007:6114:6261:6642:7602:9938:10004:10400:10422:10459:10848:11658:11914:11958:12160:12196:13069:13311:13357:13439:13894:19900:21079:21080:21624,0,RBL:79.170.44.243:@unsere-domain.de:.lbl8.mailshell.net-62.14.15.100 64.201.201.201,CacheIP:none,Bayesian:0.5,0.5,0.5,Netcheck:none,DomainCache:0,MSF:not bulk,SPF:fn,MSBL:0,DNSBL:neutral,Custom_rules:0:0:0,LFtime:78,LUA_SUMMARY:none
X-HE-Tag: crow02_8f71153ae5d10
X-Filterd-Recvd-Size: 893
Received: from jazeaccountancy.co.uk (unknown [79.170.44.243])
        (Authenticated sender: [hidden email])
        by omf14.b.hostedemail.com (Postfix) with ESMTPA
        for <[hidden email]>; Tue, 29 Jan 2019 09:09:45 +0000 (UTC)
Date: Tue, 29 Jan 2019 09:09:44 +0000
To: [hidden email]
From: "Prof. Dr. Ein Benutzer" <[hidden email]>
Reply-To: Ein Benutzer <[hidden email]>
Subject: Schnelle Bestellung #*2902:2019*#

===============8<---------------------

Mich beunruhigt auch etwas der gefälschte Return-Path. Oder lässt sich der so ohne weiteres ändern?

Viele Grüße

Sebastian
Reply | Threaded
Open this post in threaded view
|

AW: AW: Mailrelay und Absenderfälschungen

Uwe Drießen
Im Auftrag von [hidden email]
>
> Hallo Uwe,
>
> ich bin mir nicht sicher, ob ich Dich richtig verstanden habe. Das Mailrelay
> nutzen die Clients selbst überhaupt nicht. Nur der Mailbenutzer des
> Groupware-Servers darf hier einliefern.

Was steht im Logfile des Postfix servers ?


>
> ===============8<---------------------
>
> Mich beunruhigt auch etwas der gefälschte Return-Path. Oder lässt sich der
> so ohne weiteres ändern?
>

Kannste doch alles fälschen :-)

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|

Re: AW: AW: Mailrelay und Absenderfälschungen

sschieke
Die Logeinträge:

======================8<--------------

Jan 29 10:09:46 mail2 postfix/postscreen[19811]: CONNECT from [64.98.42.108]:49356 to [10.10.24.101]:25
Jan 29 10:09:46 mail2 postfix/dnsblog[22437]: addr 64.98.42.108 listed by domain list.dnswl.org as 127.0.5.0
Jan 29 10:09:46 mail2 postfix/dnsblog[22229]: addr 64.98.42.108 listed by domain spam.dnsbl.sorbs.net as 127.0.0.6
Jan 29 10:09:47 mail2 postfix/dnsblog[19826]: addr 64.98.42.108 listed by domain hostkarma.junkemailfilter.com as 127.0.1.1
Jan 29 10:09:48 mail2 postfix/postscreen[19811]: CONNECT from [64.98.42.118]:60166 to [10.10.24.101]:25
Jan 29 10:09:48 mail2 postfix/dnsblog[23172]: addr 64.98.42.118 listed by domain list.dnswl.org as 127.0.5.0
Jan 29 10:09:48 mail2 postfix/dnsblog[23219]: addr 64.98.42.118 listed by domain spam.dnsbl.sorbs.net as 127.0.0.6
Jan 29 10:09:48 mail2 postfix/dnsblog[19828]: addr 64.98.42.118 listed by domain hostkarma.junkemailfilter.com as 127.0.1.1
Jan 29 10:09:50 mail2 postfix/postscreen[19811]: PASS NEW [64.98.42.108]:49356
Jan 29 10:09:50 mail2 postfix/smtpd[23474]: connect from smtprelay0108.b.hostedemail.com[64.98.42.108]
Jan 29 10:09:51 mail2 postfix/smtpd[23474]: NOQUEUE: client=smtprelay0108.b.hostedemail.com[64.98.42.108]
Jan 29 10:09:51 mail2 amavis[22953]: (22953-19) ESMTP [127.0.0.1]:10024 /var/lib/amavis/tmp/amavis-20190129T093905-22953-j6jyCey4: <[hidden email]> -> <[hidden email]> SIZE=1876 BODY=8BITMIME Received: from mail2.
unsere-domain.de ([127.0.0.1]) by localhost (mail2.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <[hidden email]>; Tue, 29 Jan 2019 10:09:51 +0100 (CET)
Jan 29 10:09:51 mail2 amavis[22953]: (22953-19) Checking: 3OVfVi6afs2g [64.98.42.108] <[hidden email]> -> <[hidden email]>
Jan 29 10:09:51 mail2 amavis[22953]: (22953-19) p001 1 Content-Type: text/plain, size: 94 B, name:
Jan 29 10:09:51 mail2 postfix/smtpd[23230]: NOQUEUE: client=mail21-118.srv2.de[91.241.72.118]
Jan 29 10:09:52 mail2 postfix/postscreen[19811]: PASS NEW [64.98.42.118]:60166
Jan 29 10:09:52 mail2 postfix/smtpd[23478]: connect from smtprelay0118.b.hostedemail.com[64.98.42.118]
Jan 29 10:09:53 mail2 postfix/smtpd[23478]: NOQUEUE: client=smtprelay0118.b.hostedemail.com[64.98.42.118]
Jan 29 10:09:53 mail2 amavis[23479]: (22953-19) SA info: util: setuid: ruid=114 euid=114 rgid=123 123 egid=123 123
Jan 29 10:09:53 mail2 amavis[23473]: (23473-01) ESMTP [127.0.0.1]:10024 /var/lib/amavis/tmp/amavis-20190129T100953-23473-Kl5bntE3: <[hidden email]> -> <[hidden email]> SIZE=1876 BODY=8BITMIME Received: from mail2.unsere-domain.de ([127.0.0.1]) by localhost (mail2.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <[hidden email]>; Tue, 29 Jan 2019 10:09:53 +0100 (CET)
Jan 29 10:09:53 mail2 amavis[23473]: (23473-01) Checking: XKalWugpbQu9 [64.98.42.118] <[hidden email]> -> <[hidden email]>
Jan 29 10:09:53 mail2 amavis[23473]: (23473-01) p001 1 Content-Type: text/plain, size: 94 B, name:
Jan 29 10:09:53 mail2 postfix/smtpd[23301]: connect from localhost[127.0.0.1]
Jan 29 10:09:53 mail2 postfix/smtpd[23301]: 8FCD7DFDB0: client=localhost[127.0.0.1], orig_client=smtprelay0108.b.hostedemail.com[64.98.42.108]
Jan 29 10:09:53 mail2 postfix/cleanup[23294]: 8FCD7DFDB0: message-id=<[hidden email]>
Jan 29 10:09:53 mail2 postfix/qmgr[12371]: 8FCD7DFDB0: from=<[hidden email]>, size=2627, nrcpt=1 (queue active)
Jan 29 10:09:53 mail2 postfix/smtpd[23301]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) 3OVfVi6afs2g FWD from <[hidden email]> -> <[hidden email]>, BODY=8BITMIME 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8FCD7DFDB0
Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) Passed CLEAN {RelayedInbound}, [64.98.42.108]:49356 [79.170.44.243] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: 3OVfVi6afs2g, Hits: 1.765, size: 2104, queued_as: 8FCD7DFDB0, 2060 ms
Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) TIMING-SA total 1896 ms - parse: 1.49 (0.1%), extract_message_metadata: 3.5 (0.2%), get_uri_detail_list: 0.20 (0.0%), tests_pri_-1000: 6 (0.3%), tests_pri_-950: 0.83 (0.0%), tests_pri_-900: 0.90 (0.0%), tests_pri_-90: 9 (0.5%), check_bayes: 8 (0.4%), b_tokenize: 2.5 (0.1%), b_tok_get_all: 1.96 (0.1%), b_comp_prob: 1.37 (0.1%), b_tok_touch_all: 0.09 (0.0%), b_finish: 0.43 (0.0%), tests_pri_0: 458 (24.2%), check_spf: 421 (22.2%), poll_dns_idle: 403 (21.3%), check_dkim_adsp: 2.5 (0.1%), tests_pri_20: 1313 (69.2%), check_razor2: 1312 (69.2%), tests_pri_30: 70 (3.7%), check_pyzor: 68 (3.6%), tests_pri_500: 17 (0.9%), get_report: 0.35 (0.0%)
Jan 29 10:09:53 mail2 postfix/smtpd[23474]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8FCD7DFDB0; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<smtprelay.b.hostedemail.com>
Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) size: 2104, TIMING [total 2063 ms] - SMTP greeting: 1.1 (0%)0, SMTP EHLO: 0.6 (0%)0, SMTP pre-MAIL: 0.3 (0%)0, SMTP pre-DATA-flush: 1.6 (0%)0, SMTP DATA: 0.3 (0%)0, check_init: 1.1 (0%)0, digest_hdr: 0.5 (0%)0, digest_body_dkim: 0.1 (0%)0, collect_info: 1.3 (0%)0, mime_decode: 4.0 (0%)1, get-file-type1: 16 (1%)1, parts_decode: 0.2 (0%)1, check_header: 0.5 (0%)1, AV-scan-1: 5 (0%)2, spam-wb-list: 0.8 (0%)2, SA msg read: 0.3 (0%)2, SA parse: 2.2 (0%)2, SA check: 1893 (92%)94, decide_mail_destiny: 11 (1%)94, notif-quar: 0.2 (0%)94, fwd-connect: 4.4 (0%)94, fwd-xforward: 0.3 (0%)94, fwd-mail-pip: 2.1 (0%)94, fwd-rcpt-pip: 0.1 (0%)94, fwd-data-chkpnt: 0.0 (0%)94, write-header: 0.3 (0%)94, fwd-data-contents: 0.0 (0%)94, fwd-end-chkpnt: 108 (5%)100, prepare-dsn: 0.9 (0%)100, report: 1.1 (0%)100, main_log_entry: 2.8 (0%)100, update_snmp: 0.8 (0%)100, SMTP pre-response: 0.3 (0%)100, SMTP response: 0.1 (0%)100, unlink-1-files: 0.2 (0%)100, rundown: 0.7 (0%)100
Jan 29 10:09:53 mail2 postfix/smtpd[23474]: disconnect from smtprelay0108.b.hostedemail.com[64.98.42.108] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Jan 29 10:09:54 mail2 postfix/smtp[23295]: 8FCD7DFDB0: to=<[hidden email]>, relay=148.251.39.234[148.251.39.234]:25, delay=0.62, delays=0.11/0/0.01/0.5, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as AF96D5E056B)
Jan 29 10:09:54 mail2 postfix/qmgr[12371]: 8FCD7DFDB0: removed

======================8<--------------

Ungünstig wirkt sich in diesem Fall vermutlich auch das Whitelisting in Postscreen aus. Immerhin stand die IP bereits auf 2 Blacklists :

        list.dnswl.org=127.0.[0..255].0*-2
        list.dnswl.org=127.0.[0..255].1*-3
        list.dnswl.org=127.0.[0..255].[2..3]*-4
Reply | Threaded
Open this post in threaded view
|

Antwort: Re: AW: AW: Mailrelay und Absenderfälschungen

Stephan.Glatthaar
vielleicht was mit restriction classes?

in /etc/postfix/main.cf:

smtpd_restriction_classes =
        from_unseredomain

from_unseredomain =
        check_client_access cidr:/etc/postfix/unseredomain_ip.cidr,
        reject

smtpd_recipient_restrictions =
        .
        .
        check_sender_access hash:/etc/postfix/unseredomainaccess,
        .
        permit



/etc/postfix/unseredomainaccess:
unsere-domain.de from_unseredomain



in /etc/postfix/dachseredomain_ip.cidr können externe IPs, die doch mit
SMTP-From unsere-domain.de senden dürfen, whitegelisted werden:
1.2.3.4 OK






Reply | Threaded
Open this post in threaded view
|

Re: Mailrelay und Absenderfälschungen

Florian Pritz
In reply to this post by sschieke
On Thu, Jan 31, 2019 at 04:34:03PM +0100, [hidden email] wrote:
> Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen.

DKIM und DMARC helfen da dir und anderen weiter genau sowas zu
identifizieren. Die Einführung und Nutzung ist nicht ganz trivial, aber
dafür bekommst du auch DMARC reports und kannst dir über Probleme einen
Überblick verschaffen und externe Mailserver können den Absender
ebenfalls verifizieren. Häufige Probleme sind z.B. Mailinglisten die
Mails verändern und damit DKIM invalidieren, oder Webseiten die
"gefälschte" Absender für Formularmails verwenden. Wahrscheinlich hat
eine Eigenbaulösung aber die gleichen Probleme. Mails an z.B. diese
Liste kommen ja dann auch mit einem potentiell gefälschten From header
von extern in dein System. Mit DKIM/DMARC kannst du diesen Fall
allerdings korrekt erkennen und durchlassen. Nur mal so als Denkanstoß.

Florian

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Mailrelay und Absenderfälschungen

nighthawk
In reply to this post by sschieke
Hallo Sebastian,

On Thu, Jan 31, 2019 at 4:34 PM <[hidden email]> wrote:

>
> Habe es versucht mit:
>
> # /etc/postfix/main.cf
> smtpd_recipient_restrictions =
> ...
>         permit_mynetworks,
>         check_sender_access hash:/etc/postfix/disallow_my_domain,
> ...
>

Versuche es doch einmal mit:

smtpd_recipient_restrictions =
...
  permit_mynetworks,
  reject_sender_login_mismatch
...

Das funktioniert bei mir sehr zuverlässig.

Viele Grüße!