Re: Mailrelay und Absenderfälschungen

[Carsten Rosenberg]

Hey,

Meist wird bei Phishing Mails nicht der SMTP-From sondern der From in
den Headern gefälscht. Das muss dann mit header_checks oder im
Spamassassin gemacht werden.

Schau mal hier:

https://www.postfixbuch.de/upload/header_checks

Viele Grüße

Carsten

On 31.01.19 16:34, sschieke at hans-bredow-institut.de wrote:
> Hallo in die Runde,
> 
> wir haben ein Postfix Mailrelay, das vor einem Groupwareserver steht. Es nimmt eingehende Mails "von außen" entgegen und leitet sie an die Groupware weiter. Umgekehrt ist es bei der Groupware als Relayhost eingetragen. Klappt alles seit Jahr und Tag zuverlässig.
> 
> Nun beobachten wir wiederholt ziemlich "gut gemachte" Phishing Mails, der vermeintlich von einem Groupware Benutzer stammen. Nur tatsächlich kommt die Mail über das Mailrelay rein. Dieser Fall kann ja so eigentlich nicht vorkommen. Wenn interne Benutzer sich gegenseitig Mailen, ist der Relayhost schließlich gar nicht involviert. Die Groupware stellt in diesem Fall "lokal" zu. 
> 
> Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen.
> 
> Habe es versucht mit:
> 
> # /etc/postfix/main.cf
> smtpd_recipient_restrictions =
> ...
>         permit_mynetworks,
>         check_sender_access hash:/etc/postfix/disallow_my_domain,
> ...
> 
> #/etc/postfix/disallow_my_domain
> tatsaechliche.de 554 You are not allowed to send!
> domain.de 554 You are not allowed to send!
> 
> Hat jemand da eine Idee?
> 
> Viele Grüße
> 
> Sebastian
>