[postfix-users] Geht das überhaupt?
Hallo zusammen
sitze hier gerade an einem kleinen Problem: wir haben die letzten Tage massiv Phishings auf Kundenaccounts gehabt (und viele Kuden sind/waren leider so blöd das PW einzugeben). Die Mails sind eigentlich immer gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden können. Also einen RegExp gemacht der prüft ob domain vorkommt und wenn ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht dann wegschmeissen bzw verweigern. Diesen Check habe ich in die smtpd_sender_restrictions mittels sender_access eingebaut Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält Postfix scheinbar ned, zumindest konnte ich nichts in den Logs finden. Damit kann ich meinen RegExp natürlich vergessen. gibt es eine Möglichkeit, dass Postfix auch den String vor < und > zur Prüfung bekommt? Oder anders gefragt: was ist denn der beste Weg diese Phishers möglichst zu verweigern? Es ist mir klar, dass man sicher nicht alle Fälle abfangen kann, aber wenn es nur ein paar wären wäre schon viel getan :-)
Danke vielmals für jede Idee
Gruss
tobi
Hi,
Am 30.08.2012 13:51, schrieb tobster@brain-force.ch:
Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden können. Also einen RegExp gemacht der prüft ob domain vorkommt und wenn ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht dann wegschmeissen bzw verweigern.
Ich denke, abfangen/verweigern/wegwerfen darfst Du allein aus rechtlichen Gründen sowieso nicht. Du könntest allerdings die Mails mit einem Hinweis markieren, damit der werte Empfänger auf die "Sonderbarkeit" der Mail hingewiesen wird.
Am Do, 30.08.12 um 13:51:26 Uhr schrieb tobster@brain-force.ch:
[...]
gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
[...]
Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält
schau dir header_checks an
der sender check geht auf den envelope from, nicht auf den im mailheader.
cat header_checks /^Message-ID:[[:space:]]*$/ IGNORE
und in main.cf habe ich: header_checks = pcre:/etc/postfix/header_checks mime_header_checks = pcre:/etc/postfix/header_checks
Eventuell kannst du das entsprechend nutzen. ich weiss aus dem kopf aber nicht, was di in der pcre tabelle dann anstellen kannst, ob da also REJECT geht.
/Florian
Danke für den Hinweis auf header_checks :-) Damit habe ich mal folgende RegExp gebastelt << if /^From:.* (domain1|domain2|domain3)[-_ ]+.*<.*>/ !/^From:.*<.*@(domain1|domain2|domain3).ch>/ REJECT seems like a phishing mail endif if /^From:.*[-_ ]+(domain1|domain2|domain3) .*<.*>/ !/^From:.*<.*@(domain1|domain2|domain3).ch>/ REJECT seems like a phishing mail endif
erste Tests machen mir Mut, weil ich noch nichts "falsches" gematched habe.
Samples von solchen Phishing Mails habe ich leider keine zur Hand. Da müsste ich erst den Auftraggeber anfragen ob sie welche von den Kunden erhalten haben.
Gruss und Danke
tobi
Am 30.08.2012 14:19, schrieb Florian Streibelt:
Am Do, 30.08.12 um 13:51:26 Uhr schrieb tobster@brain-force.ch:
[...]
gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
[...]
Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält
schau dir header_checks an
der sender check geht auf den envelope from, nicht auf den im mailheader.
cat header_checks /^Message-ID:[[:space:]]*$/ IGNORE
und in main.cf habe ich: header_checks = pcre:/etc/postfix/header_checks mime_header_checks = pcre:/etc/postfix/header_checks
Eventuell kannst du das entsprechend nutzen. ich weiss aus dem kopf aber nicht, was di in der pcre tabelle dann anstellen kannst, ob da also REJECT geht.
/Florian _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 30.08.2012 13:51, schrieb tobster@brain-force.ch:
Hallo zusammen
sitze hier gerade an einem kleinen Problem: wir haben die letzten Tage massiv Phishings auf Kundenaccounts gehabt (und viele Kuden sind/waren leider so blöd das PW einzugeben). Die Mails sind eigentlich immer gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden können. Also einen RegExp gemacht der prüft ob domain vorkommt und wenn ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht dann wegschmeissen bzw verweigern. Diesen Check habe ich in die smtpd_sender_restrictions mittels sender_access eingebaut Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält Postfix scheinbar ned, zumindest konnte ich nichts in den Logs finden. Damit kann ich meinen RegExp natürlich vergessen. gibt es eine Möglichkeit, dass Postfix auch den String vor < und > zur Prüfung bekommt? Oder anders gefragt: was ist denn der beste Weg diese Phishers möglichst zu verweigern? Es ist mir klar, dass man sicher nicht alle Fälle abfangen kann, aber wenn es nur ein paar wären wäre schon viel getan :-)
Danke vielmals für jede Idee
Gruss
tobi _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
lass mal ein paar logs mit diesen mails sehen und deine conf , dann kann man evtl eine Empfehlung abgeben wie man in diesem Fall am besten vorgeht
* tobster@brain-force.ch tobster@brain-force.ch:
Hallo zusammen
sitze hier gerade an einem kleinen Problem: wir haben die letzten Tage massiv Phishings auf Kundenaccounts gehabt (und viele Kuden sind/waren leider so blöd das PW einzugeben). Die Mails sind eigentlich immer gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden können. Also einen RegExp gemacht der prüft ob domain vorkommt und wenn ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht dann wegschmeissen bzw verweigern. Diesen Check habe ich in die smtpd_sender_restrictions mittels sender_access eingebaut
header_checks wäre besser
Am Donnerstag, den 30.08.2012, 13:51 +0200 schrieb tobster@brain-force.ch:
Hallo zusammen
sitze hier gerade an einem kleinen Problem: wir haben die letzten Tage massiv Phishings auf Kundenaccounts gehabt (und viele Kuden sind/waren leider so blöd das PW einzugeben). Die Mails sind eigentlich immer gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden können. Also einen RegExp gemacht der prüft ob domain vorkommt und wenn ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht dann wegschmeissen bzw verweigern. Diesen Check habe ich in die smtpd_sender_restrictions mittels sender_access eingebaut Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält Postfix scheinbar ned, zumindest konnte ich nichts in den Logs finden. Damit kann ich meinen RegExp natürlich vergessen. gibt es eine Möglichkeit, dass Postfix auch den String vor < und > zur Prüfung bekommt? Oder anders gefragt: was ist denn der beste Weg diese Phishers möglichst zu verweigern? Es ist mir klar, dass man sicher nicht alle Fälle abfangen kann, aber wenn es nur ein paar wären wäre schon viel getan :-)
Ich nehme mal an, daß es die Domain des senders nicht gibt (weil du schreibst '@nichtDomain'). Da sollte es reichen, wenn du smtpd_sender_restriction erweiterst mit:
reject_unknown_sender_domain reject_non_fqdn_sender
Doch leider gibt es die Sender Domains scheinbar schon. @nichtDomain soll einfach heissen es ist keine der drei Domains die geprüft (geschützt) werden. Das ist scheinbar das Kriterium bei diesen Phishes: Es wird im From Header der Mail behauptet der Sender sei domain-alert (String vor der <Adresse>). In der Adresse steht dann aber effektiv nicht @domain sondern irgenein Müll :-)
Gruss
tobi
Am 30.08.2012 15:58, schrieb Sascha Reißner:
Am Donnerstag, den 30.08.2012, 13:51 +0200 schrieb tobster@brain-force.ch:
Hallo zusammen
sitze hier gerade an einem kleinen Problem: wir haben die letzten Tage massiv Phishings auf Kundenaccounts gehabt (und viele Kuden sind/waren leider so blöd das PW einzugeben). Die Mails sind eigentlich immer gleich aufgebaut, der Sender steht in dieser Form << domain-alert irgendwas@nichtDomain
Jetzt dachte ich mit RegExp müsste man dem eigentlich Herr werden können. Also einen RegExp gemacht der prüft ob domain vorkommt und wenn ja zusätzlich prüft ob @domain in der Adresse vorkommt. Wenn nicht dann wegschmeissen bzw verweigern. Diesen Check habe ich in die smtpd_sender_restrictions mittels sender_access eingebaut Nach einigen Tests scheint es mir als würde Postfix nur alles zwischen < und > erhalten und prüfen. Den domain-alert Teil vornedrann erhält Postfix scheinbar ned, zumindest konnte ich nichts in den Logs finden. Damit kann ich meinen RegExp natürlich vergessen. gibt es eine Möglichkeit, dass Postfix auch den String vor < und > zur Prüfung bekommt? Oder anders gefragt: was ist denn der beste Weg diese Phishers möglichst zu verweigern? Es ist mir klar, dass man sicher nicht alle Fälle abfangen kann, aber wenn es nur ein paar wären wäre schon viel getan :-)
Ich nehme mal an, daß es die Domain des senders nicht gibt (weil du schreibst '@nichtDomain'). Da sollte es reichen, wenn du smtpd_sender_restriction erweiterst mit:
reject_unknown_sender_domain reject_non_fqdn_sender
participants (6)
-
Florian Streibelt -
Martin Rabl -
Ralf Hildebrandt -
Robert Schetterer -
Sascha Reißner -
tobster@brain-force.ch