Postfix Konfiguration

[ddm3ve]

Hallo,

folgende Frage, aktuell sind ja wieder viele SCAM Emails unterwegs.
Leider schaffen es immer wieder mal einige den _Absender_ zu faken. Konkret, als antwortadresse steht die Adresse des Empfängers in der Email.

Was ich mich jetzt frage, kann man den Postfix irgendwie beibringen, dass er solche Emails ablehnt?
Fast täglich rufen Kunden an und sind verunsichert.

Und nein, wir können ausschliessen, dass unser System gehackt wurde. Die Emails kommen von anderen Root Server teils sogar von GMX und co aber eben mit der Antwortadresse des Empfängers.

Code: Select all

smtpd_recipient_restrictions =
  check_sender_access    hash:/etc/postfix/whitelist_sender,
  reject_invalid_hostname,
  reject_unknown_recipient_domain,
  reject_unauth_pipelining,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unknown_sender_domain,
  reject_invalid_hostname,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  reject_rbl_client dnsbl.inps.de,
  check_recipient_mx_access cidr:/etc/postfix/mx_access,
  check_client_access    hash:/etc/postfix/client_white_list,
  check_client_access    regexp:/etc/postfix/client_black_list,
  reject_unauth_destination,
  reject_rbl_client dsn.rfc-ignorant.org,
  reject_rbl_client sbl-xbl.spamhaus.org,
  reject_rbl_client bl.spamcop.net,
  reject_rbl_client cbl.abuseat.org,
  reject_rbl_client ix.dnsbl.manitu.net,
  reject_rbl_client combined.rbl.msrbl.net,
  reject_rbl_client rabl.nuclearelephant.com,
  check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,
  permit

Code: Select all

smtpd_client_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unknown_reverse_client_hostname,
  reject_rbl_client bl.spamcop.net,
  reject_rbl_client cbl.abuseat.org,
  reject_rhsbl_client dbl.spamhaus.org,
  permit
smtpd_data_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_pipelining,
  permit

[Joe User]

Ich bin mir gerade nicht ganz sicher, aber ich meine zu einer der Postfix 3.0.x/3.1.x/3.2.x Releases gelesen zu haben, dass die Möglichkeit zum Header-Vergleich in die header_checks eingebaut wurde, von deren Nutzung aber abgeraten wird.
Da ich momentan leider den entsprechenden Text nicht wiederfinde, könnte ich mich auch irren, daher:

Soetwas ist der Job vom Mailclient und nicht vom Mailserver, das sollten die Kunden also individuell selbst regeln.

Wenn Du den Kunden wirklich die Arbeit und Verantwortung abnehmen willst, dann sind dafür Tools wie SpamAssassin als Milter deutlich geeigneter als die header_checks.

[ddm3ve]

Hi,

ja ich weiss. Aktuell wehre ich mich auch etwas dagegen, aber gefakte Antwortadressen wären ein guter Filter auch in der eigenen Angelegenheit.
Wir sind aktuell eher wieder dran, Spamassassin auf zu bauen. Bisher haben wir es vermieden und konnten den Spam Zulauf gut reduzieren. Die Kundschaft fordert ein filtern, wohl wissend, dass es den einen oder anderen dann gibt der sich hinterher beschwert, er hätte nun emails übersehen oder gar nicht bekommen.

Also möchte ich formal korrekt Emails ablehnen, die förmlich nach Betrugsabsicht stinken.

[ddm3ve]

Ich habe zumindest ein paar Anleitungen gefunden:

https://dokuwiki.nausch.org/doku.php/ce ... on_postfix
https://www.sweetnam.eu/index.php/Postfix_Header_Checks
https://serverfault.com/questions/83895 ... accomplish
http://mattshaw.org/news/how-to-filter- ... er_checks/
https://debianforum.de/forum/viewtopic.php?t=158545

Interessant finde ich zumindet auch die Möglichkeit eines Redriect oder Subject zu überschreiben.
/^Subject: (.*)$/ REPLACE Subject: foobar $(1)
oder Redirect:
REDIRECT bob@there.com

Spamassassin kommt sicherlich mit viel mehr Regeln im -Bauch an, aber Formal den empfang zu verweigern ist für den Fall der Fehleinschätzung juristisch zumindest der sicherer Weg. Die Gegenseite bekommt es unmittelbar mit.

Meinem eigentlich Gedanken bin ich aber nicht näher gekommen, Absender von extern mit meiner Antwort Emailadresse aussperren.
Da muss ich noch etwas grübeln.

[ddm3ve]

Da aktuell ein System Umbau ansteht, frische ich das Thema auf.

Was wäre denn eine gute und aktuelle Strategie zur Spam Bekämpfung?
Gibt es eine Möglichkeit einen Empfang z.B. durch spamassassin erkannt, ab zu lehnen?

[ddm3ve]

So, inzwischen steht mein Setup.

Die header_checks habe ich gelassen.
Diese sind soweit gut, um spontan auf "übliche" Verdächtige zu reagieren und gleich vorab ab zu lehnen.

Was dann noch rein kommt wird über amavis gprüft. Einmal auf Viren und das andere mal auf auf Spam.
amavis alarmiert bei Virenbefall und schickt dies erkannten emails in die quarantäne.
dovecot-sieve sortiert dann die erkannten Spam aus.

Konfiguration fasse ich ggf. mal zusammen.
Leider ist das nun alles andere als schnell. Eine Emailzustellung dauert nun doch bis zu 3-4 Sekunden.

[Joe User]

Schneller ginge es auch, allerdings müsstest Du dann einen eigenen Milter-Filter/Daemon schreiben/programmieren und Deine Prüfungen/Manipulationen darin regeln. Auf dem Wege könntest Du natürlich auch die von Dir genutzten Amavis-Teile mit einbauen und den überflüssigen Amavis-Kram entsorgen, das sollte zusätzliche Geschwindigkeitsvorteile bringen.

Aufwendig, aber ab einer gewissen Mail-Menge durchaus lohnenswert.