Re: Absenderverifikation für From-Header - gibt es da was Neues?

Winfried Neessen wn at neessen.net
Do Apr 21 11:44:18 CEST 2016


Hi Robert,

Am 2016-04-21 11:35, schrieb robert:

> der kann doch verändert werden, ich schreibe da rein From: Paypal 
> <Service at paypal.de> und ich bin
> sicher das ich keine Mails für Paypal verschicke und verschicken 
> möchte.
> 

Das ist aber voellig unerheblich was im Mailheader steht. Wichtig ist, 
dass ein authentifizierter
User keine anderes MAIL FROM setzen kann, als das unter dem er sich am 
Mailserver angemeldet hat.

> Ich sehe keine Grund das meine Postfachbenutzer eine fremde Mail 
> Adresse in die From
> zeile eintragen.
> 
Dann sprich mal mit Kunden die Newsletter verschicken ;)

> Es Muss ja nicht der Account Name sein.
> Schauen wir mal zu 1&1 :
> 
> (kopiert von zy0.de)
> Return-Path: <noreply at paypal.de>
> X-Original-To: geza-hensel at SPAMTRAP.INVALID
> Received: from mout.kundenserver.de (mout.kundenserver.de 
> [212.227.17.24])
> by spam.over.port25.me (Spamtrap) with ESMTP
> for <geza-hensel at SPAMTRAP.INVALID>; Thu, 21 Apr 2016 11:29:41 +0200 
> (CEST)
> Received: from WIN-8GFQESRM0L5 ([5.196.148.69]) by 
> mrelayeu.kundenserver.de
> (mreue103) with ESMTPSA (Nemesis) id 0Lj4n8-1bSHb52Wfm-00dBXH for
> <geza-hensel at SPAMTRAP.INVALID>; Wed, 20 Apr 2016 02:02:10 +0200
> From: "PayPal" <noreply at paypal.de>
> 

Das einzige was hier relevant ist, ist der Return-Path (der aus dem MAIL 
FROM gewonnen wird).
Der duerfte hier nicht @paypal sein, sondern muesste die Adresse des 
Absenders behinhalten.
Das kannst Du via smtpd_sender_login_maps erreichen. Was im 
"From:"-Header steht ist
irrelevant. Sich auf das "From:" aus dem Mailheader zu verlassen, waere 
als wenn Du bei einem
HTTP Request irgendeinem (vom Client/Browser setzbaren) X-Header trauen 
wuerdest.


Winni



Mehr Informationen über die Mailingliste Postfixbuch-users