Nur auf einer IP Message-ID blocken

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Nur auf einer IP Message-ID blocken

Dirk Jakobsmeier
Hallo,

wir bekommen in letzter Zeit (ca. 4 Wochen) häufig e-Mails mit enthaltenem Link ins Internet und ich versuche gerade diese abzufangen.

postfix Version 2.9.6 auf Debian wheezy

- unterschiedliche aber bekannte Absender
- unterschiedliche aber gültige Empfänger
- unterschiedliche Sender-IP
- Teilweise mit "internem Absender" über From: [hidden email] <[hidden email]>
- Link verweist meist auf Word-Dokument

Wir nutzen in unserem access-sender_blacklisting einen REJECT für Mails von außen mit unserer internen Domain, das funktioniert, aber leider kann der diese Mails nicht abfangen - mir ist klar warum.
Einzige Möglichkeit die ich derzeit sehe wäre das Filtern über die Message-ID da diese ebenfalls so tut als wäre sie von unserem internen Mailserver erzeugt. Die Message-ID kann ich aber nur über die header_checks filter, welche aber auf allen Verbindungen prüfen. Die von intern nach extern laufenden Mails dürfen natürlich nicht gefiltert werden.

Sehe ich das richtig dass ich die gewünschte Filtermethode nicht umsetzen kann?

--


Mit freundlichem Gruß

Dirk
Reply | Threaded
Open this post in threaded view
|

Re: Nur auf einer IP Message-ID blocken

Carsten
Am 26.09.2017 um 14:16 schrieb Dirk Jakobsmeier:
> Die Message-ID kann ich aber nur über die header_checks filter, welche aber auf allen Verbindungen prüfen. Die von intern nach extern laufenden Mails dürfen natürlich nicht gefiltert werden.
>
>
Hallo Dirk,

das Thema wurde schonmal diskutiert. Schau mal hier:
https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-June/017358.html

Der Ansatz mit der Message-ID ist bei dieser Kampagne in der Tat derzeit
ein guter Ansatz.

Beste Grüße Carsten


Reply | Threaded
Open this post in threaded view
|

Re: Nur auf einer IP Message-ID blocken

Jan P. Kessler-2
In reply to this post by Dirk Jakobsmeier

> Sehe ich das richtig dass ich die gewünschte Filtermethode nicht umsetzen kann?

Z.B. durch Nutzung unterschiedlicher postfix Instanzen für Incoming und
Outgoing.

Reply | Threaded
Open this post in threaded view
|

Re: Nur auf einer IP Message-ID blocken

Dirk Jakobsmeier
Guten Morgen Jan,

ja, an dem Punkt stand ich gestern gedanklich auch kurz, das würde ich bei vermehrtem Aufkommen tatsächlich umsetzen. Derzeit sind es ca. 2-3 Mails am Tag, wenn dann auch nur einer mal so einen Link anklickt und trotz der anderen Sicherheitsmaßnahmen wie Virenscanner, Proxy-Berechtigungen, kein Systemproxy+Outlook, ... den Download holt ... das will ich mir nicht ausmalen.

Danke für den Hinweis.


On Wed, Sep 27, 2017 at 12:33:08AM +0200, Jan P. Kessler wrote:
>
> > Sehe ich das richtig dass ich die gewünschte Filtermethode nicht umsetzen kann?
>
> Z.B. durch Nutzung unterschiedlicher postfix Instanzen für Incoming und
> Outgoing.
>

--

Mit freundlichem Gruß

Dirk Jakobsmeier

Reply | Threaded
Open this post in threaded view
|

Re: Nur auf einer IP Message-ID blocken

Dirk Jakobsmeier
In reply to this post by Carsten
Hallo Carsten,

habe mir die Dokumentation angesehen und prüfe derzeit wie häufig diese e-Mails ankommen "Aufwand - Nutzen"-Betrachtung. Es ist aber tatsächlich die beste Idee und trifft derzeit nahezu alle "Fake"-Mails die bei uns noch durchkommen.

Danke für die Info.

On Tue, Sep 26, 2017 at 10:07:00PM +0200, Carsten wrote:

> Am 26.09.2017 um 14:16 schrieb Dirk Jakobsmeier:
> > Die Message-ID kann ich aber nur über die header_checks filter, welche aber auf allen Verbindungen prüfen. Die von intern nach extern laufenden Mails dürfen natürlich nicht gefiltert werden.
> >
> >
> Hallo Dirk,
>
> das Thema wurde schonmal diskutiert. Schau mal hier:
> https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-June/017358.html
>
> Der Ansatz mit der Message-ID ist bei dieser Kampagne in der Tat derzeit ein
> guter Ansatz.
>
> Beste Grüße Carsten
>
>

--


Mit freundlichem Gruß

Dirk Jakobsmeier
Tel.: +49 751 36609-29
Fax: +49 751 36609-66
Mail: [hidden email]

WIGE Konstruktionen GmbH & Co. KG
Persönlich haftende Gesellschafterin:
Sitz Ravensburg                         WIGE Konstruktionen Verwaltungsgesellschaft mbH
Amtsgericht Ravensburg HRA Nr. 1493 Amtsgericht Ravensburg HRB Nr. 2534
Schwanenstrasse 4, 88214 Ravensburg Geschäftsführer: Thomas & Jochen Geschwentner

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and delete this e-mail. Any unauthorized copying, disclosure or distribution of contents of this e-mail is strictly forbidden.
Before printing, think about ENVIRONMENTAL responsibility