Danke für den Hinweis auf header_checks :-) Damit habe ich mal folgende RegExp gebastelt << if /^From:.* (domain1|domain2|domain3)[-_ ]+.*<.*>/ !/^From:.*<.*@(domain1|domain2|domain3).ch>/ REJECT seems like a phishing mail endif if /^From:.*[-_ ]+(domain1|domain2|domain3) .*<.*>/ !/^From:.*<.*@(domain1|domain2|domain3).ch>/ REJECT seems like a phishing mail endif
erste Tests machen mir Mut, weil ich noch nichts "falsches" gematched habe.
Samples von solchen Phishing Mails habe ich leider keine zur Hand. Da müsste ich erst den Auftraggeber anfragen ob sie welche von den Kunden erhalten haben.
Gruss und Danke
tobi
Am 30.08.2012 14:19, schrieb Florian Streibelt:
Am Do, 30.08.12 um 13:51:26 Uhr schrieb tobster@brain-force.ch:
[...]
gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
[...]
Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält
schau dir header_checks an
der sender check geht auf den envelope from, nicht auf den im mailheader.
cat header_checks /^Message-ID:[[:space:]]*$/ IGNORE
und in main.cf habe ich: header_checks = pcre:/etc/postfix/header_checks mime_header_checks = pcre:/etc/postfix/header_checks
Eventuell kannst du das entsprechend nutzen. ich weiss aus dem kopf aber nicht, was di in der pcre tabelle dann anstellen kannst, ob da also REJECT geht.
/Florian _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users