[Postfixbuch-users] Automatische Weiterleitung unterbinden

Driessen driessen at fblan.de
Mo Aug 1 14:15:36 CEST 2011 

On Behalf Of Helmut Lichtenberg
> 
> Hallo,
> ich stehe vor folgendem Problem:
> 
> Hintergrund:
> 1. private Emails sind auf der Arbeit ausdrücklich untersagt.
> 2. aufgrund eines aktuellen Hinweises des BSI wurde jetzt auch explizit
>    untersagt, dienstliche Mails *automatisch* an einen privaten
> Mailaccount
>    weiterzuleiten.
> 
> Soweit noch ok.
> 
> 3. Jetzt wird von den IT-Verantwortlichen verlangt, daß sie technische
>    Maßnahmen ergreifen sollen, um Punkt 2., die automatische Umleitung, zu
>    verhindern.

Eine automatische Umleitung müsste ja dann auf den annehmenden Mailservern
passieren insoweit kann man schon nachschauen ob eine lokale oder eine
"fremdzustellung" erfolgt. 

Im Header könnte ein "Originate to:" oder so ähnlich etwas drin stehen.
Diese Mails müssten dann mit Header-check reject werden.

Gefahr dabei sehe ich allerdings bei Mails dir "rechtmäßig" weitergeleitet
werden.

> 
> 4. In Einzelfällen (und nach besonders sorgfältiger Prüfung)
>    ist es *manuell* erlaubt, Mails an private Accounts weiterzusenden.

Es muß zuerst mal definiert werden wo sind die privaten accounts und zu wem
darf und zu wem darf nicht (ebay dürfte ja eigentlich nicht aber web.de
könnte auch eine Adresse eines "Kunden" sein)


> 
> Unsere Behörde besteht aus mehreren Standorten die meist MS-Windows-
> zentriert
> sind. Wir betreiben ein Linux-Netz mit Linux-, Windows- und
> Mac-Arbeitsplätzen, haben deshalb also eine breite Palette an MUAs (kmail,
> Thunderbird, mutt, jedoch kein Outlook). Mailserver ist Postfix
> (Debian 2.7.1-1~bpo50+1).
> 
> Meine Fragen sind:
> 
> a. Bedeutet Anforderung 3. nicht eine sicherheitspolitische Überspitzung
> (um
>    es mal neutral zu formulieren :^), die eine normale Nutzung des
> Werkzeugs
>    Email unzulässig einschränkt?

Politik ist nichts entgegenzusetzen. Was die wollen muß man schauen ob es
erfüllbar ist und fertig. 
Wie du das realisierst wir denen die die Forderung gestellt haben egal sein.


> 
> b. Läßt sich das technisch überhaupt umsetzen?

Sicherlich lässt sich ein entsprechendes Regelwerk programmieren wenn man
weis wonach man suchen muß wenn es nicht innerhalb von Postfix geht dann
über einen zusätzlichen milter 


>    clientseitig: Nahezu jeder MUA kann über Filterregeln ein
> bounce/forward
>                  einstellen. Ich sehe keine Möglichkeit (von der
> Notwendigkeit

Wer erwischt wird fliegt. Wenn es dazu eine Anweißung gibt muß der
Verantwortliche halt ab und an Stichproben machen und kontrollieren.

>                  ganz zu schweigen), dies zu ändern.
>    serverseitig: Gibt es bei Postfix eine Möglichkeit dazu? Kann man
> überhaupt
>                  technisch eine automatische und eine manuelle
> Weiterleitung
>                  unterscheiden (Header oder so)?
> 
> c. Unsere Zentrale, wo die Anweisung herkommt, hat eine reine MS-Windows-
>    Installation mit Exchange-Servern und Outlook. Können die selbst sowas
>    überhaupt umsetzen?

Zumindest sollten die Regelsätze welche innerhalb von Exchange definiert
sind zu kontrollieren und über Einstellungen sollten auch bestimmte
Möglichkeiten der Regelerstellung auszublenden sein.


> 
> Es wäre nett, hierzu mal ein paar Ansichten zu bekommen.
> 
> Danke und viele Grüße
> Helmut
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users