[Postfixbuch-users] From header verifizieren
Helga.Mayer at uni-hohenheim.de
Helga.Mayer at uni-hohenheim.de
Di Aug 13 16:21:08 CEST 2013
Hallo Max und Ralf,
----- Message from postfixbuch-users-request at listen.jpberlin.de ---------
> Date: Mon, 12 Aug 2013 23:05:16 +0200
> From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
> To: postfixbuch-users at listen.jpberlin.de
> Subject: Re: [Postfixbuch-users] From header verifizieren
> Message-ID: <20130812210516.GB28675 at charite.de>
> Content-Type: text/plain; charset=utf-8
>
> * Maximilian Grobecker <max at grobecker-wtal.de>:
>> Hallo Helga,
>>
>> falls es dir darum geht Mails von angeblich lokalen Absendern abzulehnen
>> (und auch sonst) kann ich dir die Nutzung und Validierung von Domainkeys
>> empfehlen!
ich denke, ich bin missverstanden worden.
Vielleicht hilft ein Beispiel:
Return-Path: webanwendung at uni-hohenheim.de
DATA!
From: <user1>@web.de
To: <user2>@web.de
web.de nimmt das an und das ist gut so. Sonst haetten nicht nur wir
ein Problem mit unserem e-learning System.
Return-Path: webanwendung at uni-hohenheim.de
DATA!
From: <Tippfehler>@web.de
To: <user2>@web.de
web.de rejected.
Sowas will ich haben.
Und ausserdem soll
webanwendung at uni-hohenheim.de
DATA!
From: <erfundene.Adresse>@uni-hohenheim.de
To: egal wohin
unseren Postausgangsserver gar nicht verlassen, sondern samt
Fehlermeldung: 'invalid local part' im
Postfach von 'webanwendung' enden.
Koennt ja sein, dass dank irgendwelcher php Luecken jemand die
Webanwendung missbraucht und sei's
der erfindungsreiche Webprogrammierer selbst.
Ich haett's irgendwie innerhalb von Amavisd versucht. Laeuft bei uns prequeue.
Amavis macht auch die dkim Signatur und die dkim Auswertung.
Kann dkim den From Header so pruefen ? Und wenn ja, wie ?
AMAVIS muesste dann doch wissen, in welchen Verzeichnisdiensten,
Datenbanken, Lookuptables, Maps
die gueltigen Adressen zu finden sind.
Oder Call Forward auf die eigene Domain?
Ich kaempfe mich gerade durch http://dmarc.org/draft, werde aber noch
nicht schlau draus.
>
> Heisst jetzt auch DKIM
>
>> Per ADSP-Regel kann der Eigentümer der Domain festlegen was mit Mails
>> ohne gültige Signatur passieren soll.
Wenn die Mail von aussen kommt:
Ein paar Puenktchen. Mehr nicht sonst zuviele FP's
>
> Heisst jetzt auch DMARC
>
>> Bei paypal.com steht z.B. dass die Mails dann verworfen resp. abgelehnt
>> werden sollen.
>
> Genau. Seit die das veröffentlichen haben Sie durch das Verwerfen auf
> Seiten der "vier Großen" (AOL, Yahoo, Hotmail, Google) jede Menge Geld
> gespart.
>
>> Der großteil der Phishing-Versuche scheitert seitdem an dieser Hürde :-)
>
> Genau.
>
>> Einzige Voraussetzung: Du musst jeden dazu bringen die Mails unter eurer
>> Domain auch zwingend über eure Mailserver zu verschicken - denn sonst
>> können sie ja nicht signiert werden.
Unrealistisch.
Return-Path: Gast at uni-in-amiland.edu
From: Prof at uni-hohenheim.de
macht gerade einen Forschungsaufenthalt in Amiland.
VPN ist aus irgendwelchen Gruenden nicht moeglich.
Gruss
Helga
>
> Nun, das Verwerfen tut da auch das Seinige.
> Problem: Mailinglistenmails...
>
> --
> Ralf Hildebrandt
> Geschäftsbereich IT | Abteilung Netzwerk
> Charité - Universitätsmedizin Berlin
> Campus Benjamin Franklin
> Hindenburgdamm 30 | D-12203 Berlin
> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
> ralf.hildebrandt at charite.de | http://www.charite.de
>
>
>
> ------------------------------
>
> _______________________________________________
> Postfixbuch-users mailing list
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
>
> Ende Postfixbuch-users Nachrichtensammlung, Band 177, Eintrag 12
> ****************************************************************
----- End message from postfixbuch-users-request at listen.jpberlin.de -----
Mehr Informationen über die Mailingliste Postfixbuch-users