Am Donnerstag, den 30.08.2012, 13:51 +0200 schrieb tobster@brain-force.ch:
Hallo zusammen
sitze hier gerade an einem kleinen Problem: wir haben die letzten Tage massiv Phishings auf Kundenaccounts gehabt (und viele Kuden sind/waren leider so blöd das PW einzugeben). Die Mails sind eigentlich immer gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden können. Also einen RegExp gemacht der prüft ob domain vorkommt und wenn ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht dann wegschmeissen bzw verweigern. Diesen Check habe ich in die smtpd_sender_restrictions mittels sender_access eingebaut Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält Postfix scheinbar ned, zumindest konnte ich nichts in den Logs finden. Damit kann ich meinen RegExp natürlich vergessen. gibt es eine Möglichkeit, dass Postfix auch den String vor < und > zur Prüfung bekommt? Oder anders gefragt: was ist denn der beste Weg diese Phishers möglichst zu verweigern? Es ist mir klar, dass man sicher nicht alle Fälle abfangen kann, aber wenn es nur ein paar wären wäre schon viel getan :-)
Ich nehme mal an, daß es die Domain des senders nicht gibt (weil du schreibst '@nichtDomain'). Da sollte es reichen, wenn du smtpd_sender_restriction erweiterst mit:
reject_unknown_sender_domain reject_non_fqdn_sender