Spoofing erkennen

[Carsten Rosenberg]

Hey,

es gibt den harten Weg im Postfix oder den komplexen und variablen im
Spamassassin.

Im Postfix kannst du den envelope-from bzw. den header-from hart prüfen
und rejecten.

Mit 2-99 Regeln im Spamassassin kannst du das ganze entsprechend
variabler gestalten. Du kannst einfach auf header-from, received, spf,
dkim, ... prüfen und dann mit entsprechenden Meta-Rules hohe scores setzen.

Das neue FNAME Plugin (oder so ähnlich) in 3.4.2 kann dir da sicher auch
gute Dienste leisten.

VG Carsten

On 05.12.18 17:05, Marc Risse wrote:
> Hallo Liste,
> 
> das BSI empfiehlt ja folgendes:
> 
> "E-Mail-Server sollten von extern eingelieferte E-Mails mit
> Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch
> im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne
> verschieben oder mindestens im Betreff deutlich markieren."
> 
> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen
> und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM
> haben wir bisher nur testweise implementiert. Ich habe versucht ein
> Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen
> gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert.
> Gibt es vielleicht Scripte von fähigen Entwicklern dazu?
> Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen
> geöffnet.
> Gibt es da nicht etwas von Ratiopha... ähh Amavis?
> 
> Viele Grüße
> Marc
>