Re: Gefälschte Absender können interne Verteilerlisten erreichen

Paul news at amaltea.de
Di Sep 18 15:53:40 CEST 2018


Hallo Claas,

Am 18.09.2018 um 09:13 schrieb Claas Goltz:
> Hallo Kollegen,
> 
> ich habe seit ein paar Tagen ein Problem mit einem Spammer. Er ist
> Adressinformationen von uns gekommen und nutzt tatsächlich existierende
> Adressen als Absender, um unter anderem interne Verteilerlisten
> erreichen, die sonst geschützt sind.
> 
> Im Header der spam stehen
> 
> Genauer: wenn eine externe Domain eine EMail an meine Verteiler
> schreibt, wird sie erwartungsgemäß geblockt. Fälscht der Absender die
> Absender Domain, wird sie durchgelassen. Fehlt eine configzeile bei mir?!
> 
> main.cf
> (...)
> # Interne Listen von extern schuetzen
> insiders_only = check_sender_access hash:/etc/postfix/insiders, reject
> (...)
> smtpd_recipient_restrictions =
> # Empfaenger whitelisten?
>         check_recipient_access hash:/etc/postfix/access_recipient,
> # Hosts und Absender blacklisten?
>         check_client_access cidr:/etc/postfix/access_client,
>         check_helo_access hash:/etc/postfix/access_helo,
>         check_sender_access hash:/etc/postfix/access_sender,
>         check_recipient_access hash:/etc/postfix/protected_destinations,
> 
> Die Datei "proteced_destinations" ist mit Verteilerlisten gefüllt, in
> der "access_sender" und "insiders" stehen meine Domains.
> 
> Wie kann ich nun verhindern, das ein Absender außerhalb meiner bekannten
> Netzwerke hier zustellen darf?
> 
> Danke!

Wahrscheinlich ist der Fehler, dass check_sender_access
hash:/etc/postfix/access_sender und check_recipient_access
hash:/etc/postfix/protected_destinations zu früh verarbeitet werden.
Ich gehe mal davon aus, dass du dir kein Openrelay gebaut hast, für
Mails mit deiner Domain als Absenderadresse.
Auch vorausgesetzt, die SpammerIPs liefern nicht per mynetworks und
sasl_authenticated ein, dann empfehle ich:

1. Datei erstellen:
zieladressen_die_von_extern_nicht_angeschrieben_werden_duerfen_recipient:
mydomain1.com REJECT
foo at mydomain2.com REJECT
...

2. Korrektes Platzieren in der
main.cf:
...
permit_sasl_authenticated,
permit_mynetworks
check_recipient_access
hash:zieladressen_die_von_extern_nicht_angeschrieben_werden_duerfen_recipient
..

3. Ggfs Deaktivieren der alten Regeln in der main.cf
...
#check_sender_access hash:/etc/postfix/access_sender,
#check_recipient_access hash:/etc/postfix/protected_destinations,

Gruß,
Paul


> 
> Ich schreibe hier noch meine main.cf:
> 
> smtp_helo_name = mx1.domain.de
> myhostname = de-hb-mx0.domain.de
> inet_protocols = ipv4
> smtpd_banner = mx1.domain.de ESMTP $mail_name
> biff = no
> append_dot_mydomain = no
> # Uncomment the next line to generate "delayed mail" warnings
> delay_warning_time = 4h
> readme_directory = no
> bounce_queue_lifetime = 3d
> maximal_queue_lifetime = 3d
> ## TLS parameters
> # empfang
> smtpd_tls_key_file = /etc/ssl/domain/domain.de.key
> smtpd_tls_cert_file = /etc/ssl/domain/mx0.fullchain.pem
> smtp_tls_CApath = /etc/ssl/certs
> smtpd_tls_security_level = may
> # senden
> smtp_tls_key_file = $smtpd_tls_key_file
> smtp_tls_cert_file = $smtpd_tls_cert_file
> smtp_tls_CApath = /etc/ssl/certs
> smtp_tls_security_level = may
> smtpd_tls_loglevel = 1
> smtp_tls_loglevel = 1
> smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
> smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
> smtpd_tls_eecdh_grade = strong
> tls_preempt_cipherlist = yes
> smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated
> defer_unauth_destination
> alias_maps = hash:/etc/aliases
> alias_database = hash:/etc/aliases
> myorigin = /etc/mailname
> mydestination = mx1.domain.de, de-hb-mx0.domain.de,
> localhost.contact.de, localhost
> #relayhost =
> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 (diverse,
> interne IP's)
> inet_interfaces = all
> relay_domains = hash:/etc/postfix/relay_domains,
> transport_maps = hash:/etc/postfix/transport_maps, $relay_domains
> unverified_recipient_reject_code = 599
> message_size_limit = 41943040
> # selective greylisting
> smtpd_restriction_classes = check_greylist, insiders_only
> check_greylist = check_policy_service inet:127.0.0.1:10023
> 
> # Interne Listen von extern schuetzen
> insiders_only = check_sender_access hash:/etc/postfix/insiders, reject
> 
> strict_rfc821_envelopes = yes
> smtpd_helo_required = yes
> 
> address_verify_map = btree:/var/lib/postfix/verify
> header_checks = regexp:/etc/postfix/header_checks
> smtpd_recipient_restrictions =
> # Empfaenger whitelisten?
>         check_recipient_access hash:/etc/postfix/access_recipient,
> # Hosts und Absender blacklisten?
>         check_client_access cidr:/etc/postfix/access_client,
>         check_helo_access hash:/etc/postfix/access_helo,
>         check_sender_access hash:/etc/postfix/access_sender,
>     check_recipient_access hash:/etc/postfix/protected_destinations,
> # Keine unsauberen Mails annehmen!
>         reject_non_fqdn_sender,
>         reject_non_fqdn_recipient,
>         reject_unknown_sender_domain,
>         reject_unknown_recipient_domain,
>         reject_invalid_hostname,
> # Unsere Kinderchens erlauben!
>         permit_sasl_authenticated,
>         permit_mynetworks,
> # RBL checken!
>         reject_rbl_client zen.spamhaus.org,
>         reject_rbl_client ix.dnsbl.manitu.net,
> # Policyd-weight
>         check_policy_service inet:127.0.0.1:12525
> # Greylisting checken!
>         check_client_access regexp:/etc/postfix/check_client_greylist
>     #check_policy_service inet:127.0.0.1:10023
> # Dynamische Empfaengervalidierung
>     reject_unverified_recipient,
> # Backup MX erlauben!
>         permit_mx_backup,
> # Alles andere Relaying verbieten!
>         reject_unauth_destination,
> # Was jetzt noch ist darf durch!
>         permit
> 



Mehr Informationen über die Mailingliste Postfixbuch-users