Spoofing erkennen

Tobi tobster at brain-force.ch
Mo Dez 24 08:26:28 CET 2018


Ich würde auch eher den komplexen Weg via Antispamsoftware gehen und so
was nicht auf die harte Tour am MTA erledigen.
Am MTA gleicht das eher dem Schrotflintenansatz ;-) bei der
Antispamsoftware hingegen eher einem chirugischen Ansatz.

Viele der aktuellen Spams mit einer gespooften Adresse (von der
Empfängerdomäne) spoofen ja nicht den SMTP Sender selber, sondern nur
den From Header. Und auch den oft nicht komplett sondern nur den Teil in
Anführungszeichen vor der eigentlichen Adresse.
Das lässt sich imho nur in der Antispamsoftware sinnvoll abfangen.
Leider weiss ich auch nicht mehr genau wie dieses Spamassassin Plugin
heisst. Aber damit lässt sich der From Header recht einfach in seine
einzelnen Bestandteile zerlegen und mit entsprechenden Regeln prüfen.

Was es als Alternative für den MTA noch gibt wäre es einen policy Dämon
[1] zu verwenden. Damit könnte man einen poor-man-spf erstellen. So
kennt z.B. postomaat [2] mit dem complexrules plugin [3] eine
Möglichkeit schnell und einfach recht komplexe Policyregeln zu erstellen.
Das nutze ich für Domänen wo ich keinen SPF setzen kann/will/whatever.

Gruss

tobi



[1] http://www.postfix.org/SMTPD_POLICY_README.html
[2] https://github.com/fumail/postomaat
[3]
https://github.com/fumail/postomaat/blob/master/conf/complexrules.cf.dist


Am 05.12.18 um 20:46 schrieb Carsten Rosenberg:
> Hey,
> 
> es gibt den harten Weg im Postfix oder den komplexen und variablen im
> Spamassassin.
> 
> Im Postfix kannst du den envelope-from bzw. den header-from hart prüfen
> und rejecten.
> 
> Mit 2-99 Regeln im Spamassassin kannst du das ganze entsprechend
> variabler gestalten. Du kannst einfach auf header-from, received, spf,
> dkim, ... prüfen und dann mit entsprechenden Meta-Rules hohe scores setzen.
> 
> Das neue FNAME Plugin (oder so ähnlich) in 3.4.2 kann dir da sicher auch
> gute Dienste leisten.
> 
> VG Carsten
> 
> On 05.12.18 17:05, Marc Risse wrote:
>> Hallo Liste,
>>
>> das BSI empfiehlt ja folgendes:
>>
>> "E-Mail-Server sollten von extern eingelieferte E-Mails mit
>> Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch
>> im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne
>> verschieben oder mindestens im Betreff deutlich markieren."
>>
>> Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen
>> und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM
>> haben wir bisher nur testweise implementiert. Ich habe versucht ein
>> Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen
>> gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert.
>> Gibt es vielleicht Scripte von fähigen Entwicklern dazu?
>> Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen
>> geöffnet.
>> Gibt es da nicht etwas von Ratiopha... ähh Amavis?
>>
>> Viele Grüße
>> Marc
>>


Mehr Informationen über die Mailingliste postfix-users