[postfix-users] Erkennen von Absenderfälschungen bei Phishing Mails
Hallo Liebe Postfix-Gemeinde,
ich habe folgendes Problem/Vorhaben: Im Zuge von Phishing-Bekämpfung wollen wir Mails, die einen Absender aus unseren Domains haben aber nicht von Clients aus unserem Netzwerk stammen ablehnen. Ziel ist es Phishing-Nachrichten mit gefälschten Absender zu erkennen. (Wir haben ein extra SMTP-Relay, über welches die Leute normal auch von extern über Authentifizierung senden können und wo diese Regel nicht greift).
Das ganze habe ich wie folgt umgesetzt: Es gibt eine check_sender_access Regel, die, wenn eine Absender Adresse aus unserer Domain ist, eine eigene Restriction Class aufruft. In dieser Class ist eine client_access_restriction angelegt, die immer dann rejectet, wenn die IP nicht aus unserem Netz stammt.
Das Ganze funktioniert auch sehr gut. Aber nun mein Problem: Wir haben bei uns Organisationen (z.B. der Studentenrat) die eine eigene Domain haben und diese auch extern hosten lassen. Dort haben die Leute auch eine Mail-Adresse in dieser Domain bei dem externen Anbieter. Da den Leuten es aber zu aufwendig ist diese Postfächer abzurufen haben einige eine Weiterleitung auf ihr Uni Magdeburg Adresse angelegt (die Mitglieder dieser Organisationen sind auch Mitglieder unserer Uni). Wenn jetzt jemand von der Uni Magdeburg eine Mail an die Adresse des Studentenrates sendet, dann geht diese raus zu dem externen Dienstleister und wird von dort wieder rein zu uns gesendet (Weiterleitung). Dabei bleibt der Absender erhalten (sprich eine Uni-Magdeburg Adresse ist Absender) aber der Client meldet sich natürlich mit einer IP die nicht in unserem Netzwerk liegt (die IP des externen Hosters). Das heißt entsprechend meiner Restriction würde die Mail abgelehnt werden, da der Absender von intern kommt und die Mail von einem externen Client. Das soll sie aber nicht, da es eine "legale" Mail ist.
Bei Weiterleitungen von bspw. GMX konnte ich das Problem in einem ersten Test nicht feststellen, da bei GMX anscheinend ein neuer Envelope gesetzt wird, wo der Absender für die weitergeleitete Mail die GMX-Mail-Adresse, an welche gesendet wurde, ist. Da greift meine Regel korrekter Weise nicht, da es eine externe Domain im Absender ist und eine externe Client-IP vorliegt.
Ich hoffe ich konnte die Situation und das Problem einigermaßen beschreiben.
Jetzt die Frage, wie kann ich, ohne solche gewollten Mails zu blocken, sinnvoll Mails von außen blocken, die unrechtmäßiger Weise eine Adresse aus unserer Domain als Absender angeben? Wie macht ihr sowas, bzw. ist es überhaupt sinnvoll und machbar zuverlässig solche Mails zu blocken?
Ich würde mich über ein paar Denkanstöße sehr freuen.
Viele Grüße aus Magdeburg Stephan
Stephan Jacob
Otto-von-Guericke Universität Magdeburg Universitätsrechenzentrum (URZ)
Universitätsplatz 2 Gebäude 26 - 035
39106 Magdeburg
Tel.: 0391-67-58572 Fax: 0391-67-11134
* Stephan Jacob via postfix-users stephan.jacob@ovgu.de:
Das Ganze funktioniert auch sehr gut. Aber nun mein Problem:
Jein, ich habe das für meine privaten und 2-3 weitere Domains auch am start, aber bei allem mit externen 'Kunden' wird es massive Probleme geben.
Ich würde dazu übergehen den Spamscore solcher mails hochzudrehen, viel mehr kann man nicht machen.
Bei Weiterleitungen von bspw. GMX konnte ich das Problem in einem ersten Test nicht feststellen, da bei GMX anscheinend ein neuer Envelope gesetzt wird, wo der Absender für die weitergeleitete Mail die GMX-Mail-Adresse, an welche gesendet wurde, ist. Da greift meine Regel korrekter Weise nicht, da es eine externe Domain im Absender ist und eine externe Client-IP vorliegt.
Genau. Meine Mailsysteme machen das auch, das Problem entsteht z.B. beim Postfix wenn man Weiterleitungen nicht per sieve macht, so eine neue Email erstellt wird mit neuem Envelope, sondern z.B. per ldap eintrag den Postfix eine virtual Auflösung machen lässt, die dann eine externe Adresse ergibt. Postfix schreibt hier auch keinen neuen Envelope.
Jetzt die Frage, wie kann ich, ohne solche gewollten Mails zu blocken, sinnvoll Mails von außen blocken, die unrechtmäßiger Weise eine Adresse aus unserer Domain als Absender angeben?
Gar nicht. Es gibt zu viele Dienste, die das benutzen bzw. die politische Ebene kommt sehr schnell rein. Einige Leute sind leider der Meinung, dass sie bei irgendwelchen Webmail-Dienstleistern auch andere Absenderadressen einstellen können und wundern sich dann, wenn die Emails als SPAM klassifiziert werden. Mir ist bewusst, dass SMTP mal anders geplant war, aber vor 20 Jahren konnte man auch noch Emails per dialup direkt versenden und es beschwert sich heute kaum jemand darüber wenn es wegen der Spamabwehr nicht geht.
Weiterleitungen sind ja das eine Problem, dann kommen noch diverse Grußkarten und Empfehlungs-webseiten, etc. Ich persönlich mag diese Dienste nicht und bin der Meinung sie sind kaputt, aber diese Meinung kann ich meinen Nutzern nicht aufdrücken. Für die 3 Domains wo es bei mir aktiv ist sind die Nutzer der Meinung dass sie gerne auf derartige Emails verzichten wenn dafür keine Spam ankommt - da ist das okay.
Wie macht ihr sowas, bzw. ist es überhaupt sinnvoll und machbar zuverlässig solche Mails zu blocken?
Ich denke Deiner Nutzerbasis dürfte das nur sehr schwer zu erklären sein, es sei denn man hat die komplette politische Rückendeckung um Weiterleitungen zu verbieten. Wegen Datenschutz Prism und Co. Ich wage aber zu bezweifeln, dass man das will, weil Leute dann lieber komplett auf ihren googlemail account ausweichen werden.
/Florian
* Stephan Jacob via postfix-users stephan.jacob@ovgu.de:
Hallo Liebe Postfix-Gemeinde,
ich habe folgendes Problem/Vorhaben: Im Zuge von Phishing-Bekämpfung wollen wir Mails, die einen Absender aus unseren Domains haben aber nicht von Clients aus unserem Netzwerk stammen ablehnen. Ziel ist es Phishing-Nachrichten mit gefälschten Absender zu erkennen. (Wir haben ein extra SMTP-Relay, über welches die Leute normal auch von extern über Authentifizierung senden können und wo diese Regel nicht greift).
Das ganze habe ich wie folgt umgesetzt: Es gibt eine check_sender_access Regel, die, wenn eine Absender Adresse aus unserer Domain ist, eine eigene Restriction Class aufruft. In dieser Class ist eine client_access_restriction angelegt, die immer dann rejectet, wenn die IP nicht aus unserem Netz stammt.
Ja, Problem ist nur daß die CLIENTS die User einsetzen nicht auf Envelope sondern auf HEADER gucken. Und dort kann alles mögliche drinstehen.
Dafür/dagegen bräuchte man einen Milter/content_filter
participants (3)
-
Florian Streibelt via postfix-users -
Ralf Hildebrandt via postfix-users
-
Stephan Jacob via postfix-users