Hallo Liebe Postfix-Gemeinde,
ich habe folgendes Problem/Vorhaben: Im Zuge von Phishing-Bekämpfung wollen wir Mails, die einen Absender aus unseren Domains haben aber nicht von Clients aus unserem Netzwerk stammen ablehnen. Ziel ist es Phishing-Nachrichten mit gefälschten Absender zu erkennen. (Wir haben ein extra SMTP-Relay, über welches die Leute normal auch von extern über Authentifizierung senden können und wo diese Regel nicht greift).
Das ganze habe ich wie folgt umgesetzt: Es gibt eine check_sender_access Regel, die, wenn eine Absender Adresse aus unserer Domain ist, eine eigene Restriction Class aufruft. In dieser Class ist eine client_access_restriction angelegt, die immer dann rejectet, wenn die IP nicht aus unserem Netz stammt.
Das Ganze funktioniert auch sehr gut. Aber nun mein Problem: Wir haben bei uns Organisationen (z.B. der Studentenrat) die eine eigene Domain haben und diese auch extern hosten lassen. Dort haben die Leute auch eine Mail-Adresse in dieser Domain bei dem externen Anbieter. Da den Leuten es aber zu aufwendig ist diese Postfächer abzurufen haben einige eine Weiterleitung auf ihr Uni Magdeburg Adresse angelegt (die Mitglieder dieser Organisationen sind auch Mitglieder unserer Uni). Wenn jetzt jemand von der Uni Magdeburg eine Mail an die Adresse des Studentenrates sendet, dann geht diese raus zu dem externen Dienstleister und wird von dort wieder rein zu uns gesendet (Weiterleitung). Dabei bleibt der Absender erhalten (sprich eine Uni-Magdeburg Adresse ist Absender) aber der Client meldet sich natürlich mit einer IP die nicht in unserem Netzwerk liegt (die IP des externen Hosters). Das heißt entsprechend meiner Restriction würde die Mail abgelehnt werden, da der Absender von intern kommt und die Mail von einem externen Client. Das soll sie aber nicht, da es eine "legale" Mail ist.
Bei Weiterleitungen von bspw. GMX konnte ich das Problem in einem ersten Test nicht feststellen, da bei GMX anscheinend ein neuer Envelope gesetzt wird, wo der Absender für die weitergeleitete Mail die GMX-Mail-Adresse, an welche gesendet wurde, ist. Da greift meine Regel korrekter Weise nicht, da es eine externe Domain im Absender ist und eine externe Client-IP vorliegt.
Ich hoffe ich konnte die Situation und das Problem einigermaßen beschreiben.
Jetzt die Frage, wie kann ich, ohne solche gewollten Mails zu blocken, sinnvoll Mails von außen blocken, die unrechtmäßiger Weise eine Adresse aus unserer Domain als Absender angeben? Wie macht ihr sowas, bzw. ist es überhaupt sinnvoll und machbar zuverlässig solche Mails zu blocken?
Ich würde mich über ein paar Denkanstöße sehr freuen.
Viele Grüße aus Magdeburg Stephan
Stephan Jacob
Otto-von-Guericke Universität Magdeburg Universitätsrechenzentrum (URZ)
Universitätsplatz 2 Gebäude 26 - 035
39106 Magdeburg
Tel.: 0391-67-58572 Fax: 0391-67-11134