Spoofing erkennen

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Spoofing erkennen

Marc Risse
Hallo Liste,

das BSI empfiehlt ja folgendes:

"E-Mail-Server sollten von extern eingelieferte E-Mails mit
Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch
im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne
verschieben oder mindestens im Betreff deutlich markieren."

Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen
und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM
haben wir bisher nur testweise implementiert. Ich habe versucht ein
Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen
gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert.
Gibt es vielleicht Scripte von fähigen Entwicklern dazu?
Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen
geöffnet.
Gibt es da nicht etwas von Ratiopha... ähh Amavis?

Viele Grüße
Marc

Reply | Threaded
Open this post in threaded view
|

Re: Spoofing erkennen

Florian Streibelt
Moin,

On Mi, 05 Dez 2018 at 17:05:27 +0100, Marc Risse wrote:

> Hallo Liste,
>
> das BSI empfiehlt ja folgendes:
>
> "E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen
> der eigenen Organisation (sowohl im Envelope- als auch im From-Header inkl.
> Prüfung des Anzeigenamens) ablehnen, in Quarantäne verschieben oder
> mindestens im Betreff deutlich markieren."
>
> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen und


Plain postfix für den Envelope zum Beispiel so:

sender_blacklist:

# the string mx02 helps me to interprete error reports people send me...
f-streibelt.de     504 5.5.2 mx02: You are not a valid MX for the sender domain.


main.cf:

smtpd_restriction_classes = allow_external_forwards

smtpd_sender_restrictions =    permit_mynetworks,
                               check_client_access hash:/etc/postfix/relaxed_senders,
                               check_sender_access hash:/etc/postfix/sender_blacklist,
                               ...

allow_external_forwards =      permit_mynetworks,
                               reject_non_fqdn_sender,
                               check_helo_access hash:/etc/postfix/whitelist_broken_hostnames,
                               reject_non_fqdn_hostname,
                               reject_invalid_hostname,
                               reject_unknown_hostname,
                               reject_unknown_sender_domain,
                               permit


in der relaxed_senders kann man dann ggf. whitelisten:

mail.tu-berlin.de       allow_external_forwards
mailbox.tu-berlin.de    allow_external_forwards





Das fällt Dir halt auf die Füße, wenn Leute mailweiterleitungen haben die als
alias konfiguriert sind. Dann kommt eine Email von aussen zurück mit dem
Envelope des Absenders innen und produziert ein Bounce.

Ausserdem fängt es nicht das From im Body der Mail.

Ich habe es auf Wunsch einiger Kunden aktiv, deren Spamlast damit deutlich
anch unten gegangen ist, und die meinen dass sie auch keine 'Grußkarten'
bekommen brauchen. Einige der 'Diese Webseite empfehlen' und der 'Schicken Sie
ihren Freunden eine Grußkarte' setzen den Envelope nämlich auch sehr kreativ
auf das From des vermeintlichen Absenders...

Grüße,
  Florian
Reply | Threaded
Open this post in threaded view
|

AW: Spoofing erkennen

Uwe Drießen
In reply to this post by Marc Risse
Im Auftrag von Marc Risse
>
> Hallo Liste,
>
> das BSI empfiehlt ja folgendes:
>
> "E-Mail-Server sollten von extern eingelieferte E-Mails mit
> Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch
> im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne
> verschieben oder mindestens im Betreff deutlich markieren."

Was die so alles empfehlen .....
Sowas wird nicht angenommen

>
> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen
> und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM

SPF ist für Fremde das die genau prüfen können ob Mail vom richtigen Absender kommen
(Weiterleitungen usw. nicht unproblematisch)

Da "EIGENE" Domains niemals von fremden Mailserver kommen können ...

Kann auf Port 25 nie die eigene Domain im Absender auftauchen
z.B.

check_sender_access      proxy:mysql:/etc/postfix/sql/mysql-domains.cf  

... query = SELECT 'reject do not use our domain, you are not allowed'  FROM domain WHERE domain_name = '%s'
Also immer dann wenn eigene Domain im Absender gibt es eins uffe Nuss

Kannst du auch mit Hash Tabelle machen

Domainname.de           reject do not use our domain, you are not allowed  
Domainname2.com     reject do not use our domain, you are not allowed  

Ansonsten gäbe es da auch noch die Headerchecks ; gleiches Prinzip, müssen nur alle "FROM, Reply ..." einzeln geprüft werden
Regex ist hier sehr mächtig  


> haben wir bisher nur testweise implementiert. Ich habe versucht ein
> Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen
> gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert.

Warum einfach wenns auch .....

KISS Prinzip :-)

> Gibt es vielleicht Scripte von fähigen Entwicklern dazu?

Klar Wietse Venema, der kann sowas  :-)

> Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die
> Augen
> geöffnet.
> Gibt es da nicht etwas von Ratiopha... ähh Amavis?

KISS-Prinzip :-)
Nicht 300 KM fahren für eine einfache Persoausweis kontrolle.

>
> Viele Grüße
> Marc



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|

Re: Spoofing erkennen

Carsten Rosenberg
In reply to this post by Marc Risse
Hey,

es gibt den harten Weg im Postfix oder den komplexen und variablen im
Spamassassin.

Im Postfix kannst du den envelope-from bzw. den header-from hart prüfen
und rejecten.

Mit 2-99 Regeln im Spamassassin kannst du das ganze entsprechend
variabler gestalten. Du kannst einfach auf header-from, received, spf,
dkim, ... prüfen und dann mit entsprechenden Meta-Rules hohe scores setzen.

Das neue FNAME Plugin (oder so ähnlich) in 3.4.2 kann dir da sicher auch
gute Dienste leisten.

VG Carsten

On 05.12.18 17:05, Marc Risse wrote:

> Hallo Liste,
>
> das BSI empfiehlt ja folgendes:
>
> "E-Mail-Server sollten von extern eingelieferte E-Mails mit
> Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch
> im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne
> verschieben oder mindestens im Betreff deutlich markieren."
>
> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen
> und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM
> haben wir bisher nur testweise implementiert. Ich habe versucht ein
> Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen
> gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert.
> Gibt es vielleicht Scripte von fähigen Entwicklern dazu?
> Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen
> geöffnet.
> Gibt es da nicht etwas von Ratiopha... ähh Amavis?
>
> Viele Grüße
> Marc
>
Reply | Threaded
Open this post in threaded view
|

Re: Spoofing erkennen

Tobi
Ich würde auch eher den komplexen Weg via Antispamsoftware gehen und so
was nicht auf die harte Tour am MTA erledigen.
Am MTA gleicht das eher dem Schrotflintenansatz ;-) bei der
Antispamsoftware hingegen eher einem chirugischen Ansatz.

Viele der aktuellen Spams mit einer gespooften Adresse (von der
Empfängerdomäne) spoofen ja nicht den SMTP Sender selber, sondern nur
den From Header. Und auch den oft nicht komplett sondern nur den Teil in
Anführungszeichen vor der eigentlichen Adresse.
Das lässt sich imho nur in der Antispamsoftware sinnvoll abfangen.
Leider weiss ich auch nicht mehr genau wie dieses Spamassassin Plugin
heisst. Aber damit lässt sich der From Header recht einfach in seine
einzelnen Bestandteile zerlegen und mit entsprechenden Regeln prüfen.

Was es als Alternative für den MTA noch gibt wäre es einen policy Dämon
[1] zu verwenden. Damit könnte man einen poor-man-spf erstellen. So
kennt z.B. postomaat [2] mit dem complexrules plugin [3] eine
Möglichkeit schnell und einfach recht komplexe Policyregeln zu erstellen.
Das nutze ich für Domänen wo ich keinen SPF setzen kann/will/whatever.

Gruss

tobi



[1] http://www.postfix.org/SMTPD_POLICY_README.html
[2] https://github.com/fumail/postomaat
[3]
https://github.com/fumail/postomaat/blob/master/conf/complexrules.cf.dist


Am 05.12.18 um 20:46 schrieb Carsten Rosenberg:

> Hey,
>
> es gibt den harten Weg im Postfix oder den komplexen und variablen im
> Spamassassin.
>
> Im Postfix kannst du den envelope-from bzw. den header-from hart prüfen
> und rejecten.
>
> Mit 2-99 Regeln im Spamassassin kannst du das ganze entsprechend
> variabler gestalten. Du kannst einfach auf header-from, received, spf,
> dkim, ... prüfen und dann mit entsprechenden Meta-Rules hohe scores setzen.
>
> Das neue FNAME Plugin (oder so ähnlich) in 3.4.2 kann dir da sicher auch
> gute Dienste leisten.
>
> VG Carsten
>
> On 05.12.18 17:05, Marc Risse wrote:
>> Hallo Liste,
>>
>> das BSI empfiehlt ja folgendes:
>>
>> "E-Mail-Server sollten von extern eingelieferte E-Mails mit
>> Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch
>> im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne
>> verschieben oder mindestens im Betreff deutlich markieren."
>>
>> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen
>> und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM
>> haben wir bisher nur testweise implementiert. Ich habe versucht ein
>> Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen
>> gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert.
>> Gibt es vielleicht Scripte von fähigen Entwicklern dazu?
>> Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen
>> geöffnet.
>> Gibt es da nicht etwas von Ratiopha... ähh Amavis?
>>
>> Viele Grüße
>> Marc
>>
Reply | Threaded
Open this post in threaded view
|

Re: Spoofing erkennen

Walter H.
Wennst es so willst, dann sind ja Mailinglisten wie diese das
Paradebeispiel von Spoofing;
zumal sie im Mail-Envelope deren eigene Mailadresse verwenden müssen,
weil man dies auf Grund des SPF nicht anders zustellen kann, aber der From
im Mail-Header bleibt aufrecht;

wie man es handhabt ist Geschmacksache; wenn man es ohne
Antispamsoftware mit der Brechstange
macht ist es garantiert resourcenschonender;

von daher kann man das direkt im Postfix rejecten; warum?
Mails wie z.B. die von Maillinglisten gehen durch und alle anderen
haben hier bereits das SPF missachtet, und haben nichts zu suchen;

On 24.12.2018 08:26, Tobi wrote:

> Ich würde auch eher den komplexen Weg via Antispamsoftware gehen und so
> was nicht auf die harte Tour am MTA erledigen.
> Am MTA gleicht das eher dem Schrotflintenansatz ;-) bei der
> Antispamsoftware hingegen eher einem chirugischen Ansatz.
>
> Viele der aktuellen Spams mit einer gespooften Adresse (von der
> Empfängerdomäne) spoofen ja nicht den SMTP Sender selber, sondern nur
> den From Header. Und auch den oft nicht komplett sondern nur den Teil in
> Anführungszeichen vor der eigentlichen Adresse.
> Das lässt sich imho nur in der Antispamsoftware sinnvoll abfangen.
> Leider weiss ich auch nicht mehr genau wie dieses Spamassassin Plugin
> heisst. Aber damit lässt sich der From Header recht einfach in seine
> einzelnen Bestandteile zerlegen und mit entsprechenden Regeln prüfen.
>
> Was es als Alternative für den MTA noch gibt wäre es einen policy Dämon
> [1] zu verwenden. Damit könnte man einen poor-man-spf erstellen. So
> kennt z.B. postomaat [2] mit dem complexrules plugin [3] eine
> Möglichkeit schnell und einfach recht komplexe Policyregeln zu erstellen.
> Das nutze ich für Domänen wo ich keinen SPF setzen kann/will/whatever.
>
> Gruss
>
> tobi
>
>
>
> [1] http://www.postfix.org/SMTPD_POLICY_README.html
> [2] https://github.com/fumail/postomaat
> [3]
> https://github.com/fumail/postomaat/blob/master/conf/complexrules.cf.dist
>


smime.p7s (4K) Download Attachment