Gefälschte Absender können interne Verteilerlisten erreichen

Claas Goltz claas.goltz at contact-software.com
Di Sep 18 09:13:19 CEST 2018 

Hallo Kollegen,

ich habe seit ein paar Tagen ein Problem mit einem Spammer. Er ist 
Adressinformationen von uns gekommen und nutzt tatsächlich existierende 
Adressen als Absender, um unter anderem interne Verteilerlisten 
erreichen, die sonst geschützt sind.

Im Header der spam stehen

Genauer: wenn eine externe Domain eine EMail an meine Verteiler 
schreibt, wird sie erwartungsgemäß geblockt. Fälscht der Absender die 
Absender Domain, wird sie durchgelassen. Fehlt eine configzeile bei mir?!

main.cf
(...)
# Interne Listen von extern schuetzen
insiders_only = check_sender_access hash:/etc/postfix/insiders, reject
(...)
smtpd_recipient_restrictions =
# Empfaenger whitelisten?
         check_recipient_access hash:/etc/postfix/access_recipient,
# Hosts und Absender blacklisten?
         check_client_access cidr:/etc/postfix/access_client,
         check_helo_access hash:/etc/postfix/access_helo,
         check_sender_access hash:/etc/postfix/access_sender,
         check_recipient_access hash:/etc/postfix/protected_destinations,

Die Datei "proteced_destinations" ist mit Verteilerlisten gefüllt, in 
der "access_sender" und "insiders" stehen meine Domains.

Wie kann ich nun verhindern, das ein Absender außerhalb meiner bekannten 
Netzwerke hier zustellen darf?

Danke!

Ich schreibe hier noch meine main.cf:

smtp_helo_name = mx1.domain.de
myhostname = de-hb-mx0.domain.de
inet_protocols = ipv4
smtpd_banner = mx1.domain.de ESMTP $mail_name
biff = no
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
delay_warning_time = 4h
readme_directory = no
bounce_queue_lifetime = 3d
maximal_queue_lifetime = 3d
## TLS parameters
# empfang
smtpd_tls_key_file = /etc/ssl/domain/domain.de.key
smtpd_tls_cert_file = /etc/ssl/domain/mx0.fullchain.pem
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_security_level = may
# senden
smtp_tls_key_file = $smtpd_tls_key_file
smtp_tls_cert_file = $smtpd_tls_cert_file
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_security_level = may
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_eecdh_grade = strong
tls_preempt_cipherlist = yes
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated 
defer_unauth_destination
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mx1.domain.de, de-hb-mx0.domain.de, 
localhost.contact.de, localhost
#relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 (diverse, 
interne IP's)
inet_interfaces = all
relay_domains = hash:/etc/postfix/relay_domains,
transport_maps = hash:/etc/postfix/transport_maps, $relay_domains
unverified_recipient_reject_code = 599
message_size_limit = 41943040
# selective greylisting
smtpd_restriction_classes = check_greylist, insiders_only
check_greylist = check_policy_service inet:127.0.0.1:10023

# Interne Listen von extern schuetzen
insiders_only = check_sender_access hash:/etc/postfix/insiders, reject

strict_rfc821_envelopes = yes
smtpd_helo_required = yes

address_verify_map = btree:/var/lib/postfix/verify
header_checks = regexp:/etc/postfix/header_checks
smtpd_recipient_restrictions =
# Empfaenger whitelisten?
         check_recipient_access hash:/etc/postfix/access_recipient,
# Hosts und Absender blacklisten?
         check_client_access cidr:/etc/postfix/access_client,
         check_helo_access hash:/etc/postfix/access_helo,
         check_sender_access hash:/etc/postfix/access_sender,
     check_recipient_access hash:/etc/postfix/protected_destinations,
# Keine unsauberen Mails annehmen!
         reject_non_fqdn_sender,
         reject_non_fqdn_recipient,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
         reject_invalid_hostname,
# Unsere Kinderchens erlauben!
         permit_sasl_authenticated,
         permit_mynetworks,
# RBL checken!
         reject_rbl_client zen.spamhaus.org,
         reject_rbl_client ix.dnsbl.manitu.net,
# Policyd-weight
         check_policy_service inet:127.0.0.1:12525
# Greylisting checken!
         check_client_access regexp:/etc/postfix/check_client_greylist
     #check_policy_service inet:127.0.0.1:10023
# Dynamische Empfaengervalidierung
     reject_unverified_recipient,
# Backup MX erlauben!
         permit_mx_backup,
# Alles andere Relaying verbieten!
         reject_unauth_destination,
# Was jetzt noch ist darf durch!
         permit

-- 
Herr Claas Goltz

IT-Systemadministrator

CONTACT Software GmbH
Wiener Straße 1–3, 28359 Bremen, Germany
T +49 421 20153-27
F +49 421 20153-41

mailto:claas.goltz at contact-software.com
www.contact-software.com

Registered office: Bremen, Germany
Managing directors: Karl Heinz Zachries, Ralf Holtgrefe
Court of register: Amtsgericht Bremen HRB 13215

Mehr Informationen über die Mailingliste Postfixbuch-users