Re: Absenderverifikation für From-Header - gibt es da was Neues?

[Kai Fürstenberg]

Hi Max,

Am 20.04.2016 um 01:19 schrieb Max Grobecker:
> Bei mir prüft Postfix mittels reject_sender_login_mismatch ob
> Absender und Account zusammenpassen. Das funktioniert an sich ganz
> prima, kann aber relativ leicht ausgehebelt werden. Dazu muss nur ein
> gültiger Absender während der SMTP-Transaktion als MAIL FROM
> angegeben werden, was dann später im From-Header steht ist Postfix
> dann vollkommen egal.
> 
> Das ist ja im weitesten Sinne ein dokumentiertes Verhalten,
> allerdings hilft das natürlich nur bedingt weiter.* Gibt es eine
> Möglichkeit - außer den From-Header zu verwerfen und von Postfix neu
> schreiben zu lassen - eben jenen Header zu prüfen und ggf. die Mail
> abzulehnen? In der aktuellen Postfix-Doku habe ich keine
> fortgeschrittenere Technologie gefunden, aber vielleicht suche ich
> auch falsch ;-)

ich komme nochmal auf die ganz ursprüngliche Mail zurück.
Das, was du vor hast ist, mit Postfix-Bordmitteln nicht zu erreichen.
Abgesehen von Header- und Body-Checks interessiert sich Postfix nicht
für den Inhalt und damit auch nicht für die Header einer E-Mail.

Da die Peer'sche Standardkonfiguration aber auch Amavis und Spamassassin
beinhaltet, könntest du einfach diese beiden für deine Zwecke in
Anspruch nehmen.

Der Verwaltungsaufwand lohnt sich aber nur, wenn du nur ne Handvoll
Domänen verwaltest, bzw. die Domain-Fluktuation sich in Grenzen hält.

Du prüfst über den Spamassassin, ob der From:-Header eine eigene Domain
aufweist und verpasst dieser Regel ein entsprechend hohes Scoring. Die
Mails, die über AUTH hereinkommen, nimmst du von der Prüfung über eine
Policy-Bank aus.

Hab ich nicht geprüft, erscheint mir aber logisch. Du müsstest nur
prüfen, ob das mit deinem Setup realisierbar ist.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws