IPFire mit Mail-Proxyfunktion

Anregungen & Feature Requests
User avatar
gocart
Posts: 545
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 30th, 2017, 3:58 pm

@UE ossec eskaliert ja gleich schon wieder.. ::) Hast du da auch die Server Komponente mit aktiviert? Gibt es da ein WebIF was man einbinden könnte? Im Manual seht was von "Active response" in unserem Fall wäre das ultra konkret ein Firewall Regel die eine bestimme IP für eine bestimme zeit blockt. ps. Du hast die ganzen Sachen auf GitHub hochgeladen. Vielleicht sollte ich das mir den Mail Gateway / Server Sachen auch mal machen.
Grüße, gocart

User avatar
gocart
Posts: 545
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 30th, 2017, 4:27 pm

@UE alsoo dein LFS geht mit der 2.9.1 nicht mehr. Die haben den Installer Prozess umgebaut. Muss jetzt heißen: make TARGET=local und make install TARGET=local. Ein InstallAgent.sh gibr es nicht mehr... Den "ossec-2.8.3_preloaded-vars.patch" habe ich auf Hithub nicht gefunden. Wie hast du den gebaut? Mal schauen was ich so zum gehen bekomme.
Grüße, gacart

ummeegge
Community Developer
Community Developer
Posts: 4893
Joined: October 9th, 2010, 10:00 am

Re: IPFire mit Mail-Proxyfunktion

Post by ummeegge » August 30th, 2017, 8:07 pm

Juten Abend zusammen,
5p9 wrote:
August 30th, 2017, 1:15 pm
OSSEC meldet doch nur Informationen, oder habe ich das falsch verstanden?
OSSECs Active Response bzw. "Firewall Drop" sperren IPs ab definierbaren Alert Levels --> ossec-docs.readthedocs.io/en/latest/syntax/head_ossec_config.active-response.html per defaut für 600 Sekunden (10 Minuten) und schaltet sie dann auch wieder frei, ist somit einwenig dasselbe wie auch bei Guardian.
5p9 wrote:
August 30th, 2017, 1:15 pm
Ich würde ja lieber Events gerne weiterleiten wollen zu guardian der diese dann für die vorgegebene Zeit die IP in seine Chain hinterlegt und damit blockt, aber der klassische Weg über die guardianblock.sh gibts ja nicht mehr
for Schleife mit Blacklist in der firewall.local und zwei kleine Skripten, das eine zum Checken der Logs das andere zum wieder freigeben der IP´s ?
Ich habe leider schon länger nichts mehr mit Guardian gemacht.
5p9 wrote:
August 30th, 2017, 1:15 pm
Ich versteh auch noch nicht wie er das snortlog "alert" interpretiert und auswertet.
Zur Log Analysis bzw. dem Monitoring findest du hier --> http://ossec-docs.readthedocs.io/en/lat ... onitoring/ ein paar mehr Infos . Jener --> https://www.youtube.com/watch?v=E8bFC1byVBE geht zwar knapp eine Stunde ist aber zu diesem Thema ganz aufschlussreich. Prinzipiell braucht´s da ein wenig Einarbeitung --> http://ossec-docs.readthedocs.io/en/latest/index.html <-- ist leider auch nicht mehr der neueste Stand aber irgendwann ist das eine, wie ich finde, leicht erweiterbare Möglichkeit eines NHIDPS (NetworkHostIntrusionDetectionPreventionSystem).
5p9 wrote:
August 30th, 2017, 1:15 pm
@UE: Schönen Urlaub noch! ;)
Danke O0 .
gocart wrote:
August 30th, 2017, 3:58 pm
@UE ossec eskaliert ja gleich schon wieder.. ::)
Wie sollte es auch anders sein :D .
gocart wrote:
August 30th, 2017, 3:58 pm
Hast du da auch die Server Komponente mit aktiviert?
Es gibt zwei Pakete, eines für den Agent das andere für den Master --> http://people.ipfire.org/~ummeegge/Ossec_for_IPFire/ . Auch bei der Hybdrid Variante in der 2.8er habe ich keine funktionierende Doppellösung gebaut bekommen, der Server lässt sich da zwar auch im Standalone (also ohne Clients) betreiben aber einen agent im selben Paket mag er nicht leiden (fehlen die entsprechenden Binaries). Das Agent Paket hat ein "setagent" beim make mit bekommen.
gocart wrote:
August 30th, 2017, 3:58 pm
Gibt es da ein WebIF was man einbinden könnte?
Es gibt ein Webif allerdings nur zur Übersicht, da lässt sich nichts konfigurieren. Sieht dann so aus --> viewtopic.php?t=15597#p107354 . Der Installer frägt auch ob er das für dich installieren soll.
gocart wrote:
August 30th, 2017, 3:58 pm
Im Manual seht was von "Active response" in unserem Fall wäre das ultra konkret ein Firewall Regel die eine bestimme IP für eine bestimme zeit blockt. ps.
Korrekt, Lässt sich alles (Active Response) bei der Installation aktivieren.
gocart wrote:
August 30th, 2017, 3:58 pm
Du hast die ganzen Sachen auf GitHub hochgeladen. Vielleicht sollte ich das mir den Mail Gateway / Server Sachen auch mal machen.
Ja hatte das mal gemacht da ich zuviel anderen Kram hatte der jetzt nicht unbedingt was im IPFire Git zu suchen hat. Ist wie ich finde auch ganz praktisch nur noch den Master im Forum zu verlinken und nicht mehr endlos Code im Forum zu posten und dann wieder zusammenzufegen ;) .
gocart wrote:
August 30th, 2017, 4:27 pm
@UE alsoo dein LFS geht mit der 2.9.1 nicht mehr.
Nein das geht da nicht mehr, generell ist das bauen von OSSEC mit LFS einwenig stressiger, ich habe bei den Paketen den Binary installer genommen und vorher im chroot zusammengebaut --> http://ossec-docs.readthedocs.io/en/lat ... inary.html bzw. --> https://forum.ipfire.org/viewtopic.php?f=4&t=4924 ich hab da noch einiges anderes was noch nicht auf Github ist und mal wieder mehr Zuwendung bräuchte...
gocart wrote:
August 30th, 2017, 4:27 pm
Die haben den Installer Prozess umgebaut. Muss jetzt heißen: make TARGET=local und make install TARGET=local.
Ja, bzw. "agent" oder "server" (Hybrid geht auch soweit ich mich erinnere), bei DB´s bzw. GeoIP etc. Support geht das dann auch so --> http://ossec-docs.readthedocs.io/en/lat ... efile.html allerdings bin ich mit der 2.9er noch nicht zufrieden gewesen die war Buggy bei mir weswegen ich die noch nicht drinne habe, ich hab´s gerde nicht mehr genau im Kopf was das war ist aber alles zuhause zufinden.
gocart wrote:
August 30th, 2017, 4:27 pm
Den "ossec-2.8.3_preloaded-vars.patch" habe ich auf Hithub nicht gefunden. Wie hast du den gebaut?
Das blöde beim LFS bauen ist das der reguläre Installer nicht mehr standartmässig vorhanden ist der so nett am Anfang der Installation fragt was man alles will, welche IPs bzw. welche Email usw. im preloadvars Patch hatte ich vor allem die Konfig gemacht und alles angehabt was ich dann aber wieder verworfen hatte ( https://github.com/ummeegge/ossec-ipfir ... 98d53ee5e8 ).
Ein configure lässt sich prinzipiell auch selber bauen und als BIN irgendwo mitinstallieren, der setzt die Parameter dann in die ossec.conf, da gibt es auch ganz nette Erweiterungen zum Anbinden der Agents an den Master was Sinn macht wenn das mehrere sind, hatte da auch schonmal was gebaut wo mehr ging. Ein ossec.cgi wäre auch eine Idee und ich denke auch nicht zu komplex, für meinen Geschmack macht sich der Fire da am besten als Agent aber da kann man sich ja auch nochmal mehr Gedanken machen.
gocart wrote:
August 30th, 2017, 4:27 pm
Mal schauen was ich so zum gehen bekomme.
Ja, komm doch einfach mal rüber wenn du Lust hast im deutschen --> https://forum.ipfire.org/viewtopic.php?f=4&t=4924 bzw. --> viewtopic.php?t=15597#p93670 .

Wäre aber mal spannend was sich da für Postfix erweitern lassen würde ()event. ein guter Platz hier ?), ich denke das sich mit relativ wenig Aufwand (XMLs) recht fix ein Regelwerk erstellen lässt was euch eure Kandidaten dann mittels FW dynamisch raushauen kann.

So jetzt wird noch in den Garten gesetzt und ein(?) nettes Bierchen getrunken und Nordklima genossen.

Grüssle und auf bald,

UE
Image
Image

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 31st, 2017, 12:37 pm

Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 545
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 31st, 2017, 12:37 pm

@5p9 Der Post https://forum.ipfire.org/viewtopic.php? ... 55#p110416 ist aktualisiert. Habe mich entschieden den Verify-Dienst mit reject_unverified_recipient unter smtpd_recipient_restrictions von Posfix zu nutzen, da es die zum einen die flexiblere Variante ist und keine extra Map-Dateien gepflegt werden müssen. Die Relay-Table Meldungen im Log sind damit auch weg.

Das relay_recipient_maps hat noch viel weiterreichende Auswirkungen auf andere Einstellungen. Es reicht schon das überhaupt zu definieren und schon verhält sich Postfix anders. http://www.postfix.org/postconf.5.html# ... _recipient.

@UE Ich komme mal rüber... ;) 8) Bin dabei die ossec LFS Dateien zu modernisieren. Sobald ich was brauchbares habe meld ich mich drüben...

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 31st, 2017, 1:03 pm

Hi,

danke für deine Rückmeldung. Jedoch bin ich ncoh auf der 28er und da gibts die spamphrases-block.pcre noch nicht bei mir.

jetzt habe ich mal die main.cf wie du angepasst:

Code: Select all

smtpd_recipient_restrictions =
    reject_invalid_hostname,
    reject_non_fqdn_hostname,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
#    reject_unlisted_recipient,
#    check_recipient_access hash:/etc/postfix/recipient_access,
    permit_mynetworks,
    reject_unauth_destination,
    reject_unverified_recipient,
    permit
und meine #relay_recipient_maps = hash:/etc/postfix/relay_recipients auskommentiert, jedoch kommen nun wieder alle falschen Empfänger beim exchange an. habe ich evtl. etwas vergessen?

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 545
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 31st, 2017, 1:24 pm

@5p9 was ist ein bei dir falscher Empfänger? Es gibt nur die die im AD bzw. Exchange existieren. Das Prüft der Verify Dienst von Postfix mit einer double-bounce und speicher das Ergebins in der verify.db für eine Woche. Wenn du mit irgendwas Catchall arbeitest, sie die Sache anders aus. Wenn es den Empfänger im Exchange nicht gibt, meldet das Exchange an Posfix zurück und Posfix sagt dann selbst, dass es das Postfach nicht gibt. Die double-bounce-Tests sind im Log sichtbar. Wenn nicht ist was anders faul...

So sieht das aus:

Code: Select all

double-bounce@domain.de>, size=249, nrcpt=1 (queue active)
to=<name@domain.de>, relay=192.168.1.1[192.168.1.1]:8025, delay=5, delays=0.01/0.02/0/5, dsn=2.1.5, status=deliverable (250 2.1.5 Recipient OK)
Grüße, gocart
Last edited by gocart on August 31st, 2017, 1:35 pm, edited 1 time in total.

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 31st, 2017, 1:31 pm

Hi,
was ist ein bei dir falscher Empfänger?
wenn ich jetzt z.B. hans@meine.domain.de eine Mail zusetelle erhalte ich den Bounce vom Exchange. Im gatewaylog sehe ich das die Mail angenommen wird und einfach an den exhchange weiter gereicht wird.
Verify Dienst von Postfix mit einer double-bounce und speicher das Ergebins in der verify.db
okay, wenn der service an wäre müsste ich doch die verify.db finden aber ich seh diese nicht? Postfix hat diesen serivce ja als default glaube ich ja auf true gesetzt. wie kann ich das überprüfen ob das so ist, vielleicht habe ich in meiner main etwas falsch hinterlegt.

kann ja mal vorkommen bei meinem ge'hack'e hier am postfix :D

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 545
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 31st, 2017, 1:42 pm

@5p9: Tja, in deiner 28er Config fehlt unter Content Cheks and transport lists :

Code: Select all

address_verify_map   = btree:/var/spool/postfix/data/verify
Vorher das Verzeichnis anlegen sonst wird nix.:

Code: Select all

   mkdir /var/spool/postfix/data;
   chown -R postfix:root /var/spool/postfix/data;
   chmod -R 700 /var/spool/postfix/data;
Postfix neu starten. Reload reicht nicht! In dem 30er Installer ist das auch noch nicht mit drin. Der 31er ist bereits in Arbeit... Da werden auch alle db files auf btree umgestellt da schneller.
Grüße, gocart

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 31st, 2017, 1:50 pm

Danke für die Info !

Cool, jetzt muss ich erst einmal auf die 112er die Fire aktualisieren. Des dauert bei mir aber noch. I.M gehe ich deinen install-scripts nach und konfiguriere soweit keine Abhängigkeiten bestehen alles manuell nach. Danke für's Bastln ^-^

Werds morgen mal testen.
Vielleicht schaffe ich es noch bis nächste Woche das Thema ossec mit dem Mailserver in Verbindung zu bekommen wenn ich halbwegs verstehe was das Ding so treibt und machen kann.

Wünsche noch einen schönen und bis demnächst.
5p9
Mail Gateway: mail proxy

Image

Image

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » September 1st, 2017, 6:51 am

Morgen,

postfix stop - dann unter /var/spool/postfix/data/verify.db ist vorhanden (rechte und user passen).

in der main.cf

Code: Select all

# Content checks lists and Transport Lists
alias_maps           = hash:/etc/postfix/aliases
alias_database       = hash:/etc/postfix/aliases
virtual_alias_maps   = hash:/etc/postfix/virtual
transport_maps       = hash:/etc/postfix/transport
address_verify_map   = btree:/var/spool/postfix/data/verify
#relay_recipient_maps = hash:/etc/postfix/relay_recipients
body_checks          = pcre:/etc/postfix/body_checks.pcre
header_checks        = pcre:/etc/postfix/header_checks.pcre
mime_header_checks   = pcre:/etc/postfix/mime_header_checks.pcre
#smtpd_command_filter = pcre:/etc/postfix/command_filter
bounce_template_file = /etc/postfix/bounce.cf
smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_access
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

<address_verify_map = btree:/var/spool/postfix/data/verify> abgelegt

und unter Transport Restrictions:

Code: Select all

# Transport Restictions
smtpd_client_restrictions =
    permit_mynetworks,
    reject_invalid_hostname,
    check_client_access hash:/etc/postfix/smtpd_access,
    check_client_access hash:/etc/postfix/sld_access,
    check_client_access hash:/etc/postfix/tld_access,
    check_client_access hash:/etc/postfix/tld_new_access,
    check_client_access pcre:/etc/postfix/spamphrases-white.pcre,
    check_client_access pcre:/etc/postfix/spamphrases-block.pcre,
    regexp:/etc/postfix/ptr.cf,
    reject_unknown_client_hostname,
    #reject_unknown_reverse_client_hostname,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client ix.dnsbl.manitu.net,
    reject_rbl_client dnsbl.inps.de,
    reject_multi_recipient_bounce,
    sleep 1,
    reject_unauth_pipelining,
    permit

smtpd_helo_restrictions =
    reject_unauth_pipelining,
    check_helo_access hash:/etc/postfix/helo_access,
    reject_unknown_helo_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    permit_mynetworks,
    check_helo_access hash:/etc/postfix/sld_access,
    check_helo_access hash:/etc/postfix/tld_access,
    #check_helo_access hash:/etc/postfix/tld_new_access,
    regexp:/etc/postfix/helo.cf,
    permit

smtpd_sender_restrictions =
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit_mynetworks,
    check_sender_access hash:/etc/postfix/sender_access,
    check_sender_access hash:/etc/postfix/sld_access,
    check_sender_access hash:/etc/postfix/tld_access,
    #check_sender_access hash:/etc/postfix/tld_new_access,
    # activate sender address verification (care, blocks autoresponder and other addresses)
    # add the needed addresses to the whitelist (sender_access)
    #reject_unverified_sender,
    permit

smtpd_recipient_restrictions =
    reject_invalid_hostname,
    reject_non_fqdn_hostname,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
#    reject_unlisted_recipient,
#    check_recipient_access hash:/etc/postfix/recipient_access,
    permit_mynetworks,
    reject_unauth_destination,
    reject_unverified_recipient,
    permit


< check_client_access pcre:/etc/postfix/spamphrases-block.pcre > double-bounce OK hinterlegt.
und im log sehe ich dann wieder ein durchstellen meiner pseudomail-adresse:

Code: Select all

Sep  1 08:29:43 MYFIRE postfix/smtpd[906]: connect from mout.gmx.net[212.yyy.yyy.yyy]
Sep  1 08:29:43 MYFIRE postfix/smtpd[906]: Anonymous TLS connection established from mout.gmx.net[212.yyy.yyy.yyy]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Sep  1 08:29:43 MYFIRE postfix/smtpd[906]: D201E1CA05A: client=mout.gmx.net[212.yyy.yyy.yyy]
Sep  1 08:29:43 MYFIRE postfix/cleanup[911]: D201E1CA05A: message-id=<23FA9BB4-6486-4CF8-8A1A-335E1B21B66E@gmx.net>
Sep  1 08:29:43 MYFIRE postfix/qmgr[903]: D201E1CA05A: from=<extern@user.de>, size=2490, nrcpt=1 (queue active)
Sep  1 08:29:43 MYFIRE amavis[30251]: (30251-15) LMTP :10024 /var/amavis/tmp/amavis-20170901T072203-30251-dyIMzs16: <extern@user.de> -> <hans@my.domain.de> SIZE=2490 Received: from my.domain.de ([127.0.0.1]) by localhost (mygateway.domain.de[127.0.0.1]) (amavisd-new, port 10024) with LMTP for <hans@my.domain.de>; Fri,  1 Sep 2017 08:29:43 +0200 (CEST)
Sep  1 08:29:43 MYFIRE postfix/smtpd[906]: disconnect from mout.gmx.net[212.yyy.yyy.yyy] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Sep  1 08:29:43 MYFIRE amavis[30251]: (30251-15) Checking: Njhk-MUsUc5g [212.yyy.yyy.yyy] <extern@user.de> -> <hans@my.domain.de>
Sep  1 08:29:44 MYFIRE amavis[30251]: (30251-15) spam-tag, <extern@user.de> -> <hans@my.domain.de>, No, score=-1.92 required=3 tests=[BAYES_00=-1.9, FREEMAIL_FROM=0.001, RCVD_IN_MSPIKE_H3=-0.01, RCVD_IN_MSPIKE_WL=-0.01, RP_MATCHES_RCVD=-0.001] autolearn=ham autolearn_force=no
Sep  1 08:29:44 MYFIRE postfix/smtpd[923]: connect from localhost[127.0.0.1]
Sep  1 08:29:44 MYFIRE postfix/smtpd[923]: A60DE1CA05B: client=localhost[127.0.0.1], orig_queue_id=D201E1CA05A, orig_client=mout.gmx.net[212.yyy.yyy.yyy]
Sep  1 08:29:44 MYFIRE postfix/cleanup[911]: A60DE1CA05B: message-id=<23FA9BB4-6486-4CF8-8A1A-335E1B21B66E@gmx.net>
Sep  1 08:29:44 MYFIRE postfix/smtpd[923]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Sep  1 08:29:44 MYFIRE postfix/qmgr[903]: A60DE1CA05B: from=<extern@user.de>, size=3168, nrcpt=1 (queue active)
Sep  1 08:29:44 MYFIRE amavis[30251]: (30251-15) Njhk-MUsUc5g FWD from <extern@user.de> -> <hans@my.domain.de>, BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as A60DE1CA05B
Sep  1 08:29:44 MYFIRE amavis[30251]: (30251-15) Passed CLEAN {RelayedInbound}, [212.yyy.yyy.yyy]:53683 [88.yyy.yyy.yyy] <extern@user.de> -> <hans@my.domain.de>, Queue-ID: D201E1CA05A, Message-ID: <23FA9BB4-6486-4CF8-8A1A-335E1B21B66E@gmx.net>, mail_id: Njhk-MUsUc5g, Hits: -1.92, size: 2490, queued_as: A60DE1CA05B, 752 ms
Sep  1 08:29:44 MYFIRE amavis[30251]: (30251-15) TIMING-SA [total 687 ms, cpu 260 ms] - parse: 1.08 (0.2%), extract_message_metadata: 2.9 (0.4%), get_uri_detail_list: 0.72 (0.1%), tests_pri_-1000: 4.7 (0.7%), tests_pri_-950: 0.87 (0.1%), tests_pri_-900: 0.82 (0.1%), tests_pri_-400: 13 (2.0%), check_bayes: 13 (1.8%), b_tokenize: 4.3 (0.6%), b_tok_get_all: 3.4 (0.5%), b_comp_prob: 2.8 (0.4%), b_tok_touch_all: 0.31 (0.0%), b_finish: 0.50 (0.1%), tests_pri_0: 437 (63.6%), check_spf: 0.23 (0.0%), check_dkim_signature: 0.50 (0.1%), check_dkim_adsp: 2.7 (0.4%), check_razor2: 390 (56.7%), check_pyzor: 0.08 (0.0%), tests_pri_500: 187 (27.3%), poll_dns_idle: 182 (26.6%), learn: 24 (3.5%), b_learn: 22 (3.3%), b_count_change: 11 (1.6%), get_report: 0.60 (0.1%)
Sep  1 08:29:44 MYFIRE postfix/lmtp[921]: D201E1CA05A: to=<hans@my.domain.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.84, delays=0.09/0/0/0.75, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as A60DE1CA05B)
Sep  1 08:29:44 MYFIRE amavis[30251]: (30251-15) size: 2490, TIMING [total 755 ms, cpu 283 ms, AM-cpu 23 ms, SA-cpu 260 ms] - SMTP greeting: 1.6 (0%)0, SMTP LHLO: 0.6 (0%)0, SMTP pre-MAIL: 0.7 (0%)0, SMTP MAIL: 0.8 (0%)0, SMTP pre-DATA-flush: 1.2 (0%)1, SMTP DATA: 35 (5%)5, check_init: 0.4 (0%)5, digest_hdr: 0.5 (0%)5, digest_body: 0.1 (0%)5, collect_info: 1.9 (0%)6, check_header: 1.0 (0%)6, AV-scan-1: 6 (1%)7, spam-wb-list: 0.5 (0%)7, SA msg read: 0.5 (0%)7, SA parse: 1.4 (0%)7, SA check: 684 (91%)97, decide_mail_destiny: 4.1 (1%)98, notif-quar: 0.3 (0%)98, fwd-connect: 3.4 (0%)98, fwd-xforward: 0.4 (0%)98, fwd-mail-pip: 1.3 (0%)99, fwd-rcpt-pip: 0.2 (0%)99, fwd-data-chkpnt: 0.1 (0%)99, write-header: 0.5 (0%)99, fwd-data-contents: 0.0 (0%)99, fwd-end-chkpnt: 1.6 (0%)99, prepare-dsn: 0.5 (0%)99, report: 1.0 (0%)99, main_log_entry: 4.0 (1%)100, update_snmp: 1.6 (0%)100, SMTP pre-response: 0.2 (0%)100, SMTP response: 0.1 (0%)100, unlink-1-files: 0.1 (0%)100, rundown: 0.6 (0%)100
Sep  1 08:29:44 MYFIRE amavis[30251]: (30251-15) size: 2490, RUSAGE minflt=24+0, majflt=0+0, nswap=0+0, inblock=0+0, oublock=1376+0, msgsnd=0+0, msgrcv=0+0, nsignals=0+0, nvcsw=132+0, nivcsw=3+0, maxrss=95376+0, ixrss=0+0, idrss=0+0, isrss=0+0, utime=0.277+0.000, stime=0.007+0.000
Sep  1 08:29:44 MYFIRE postfix/qmgr[903]: D201E1CA05A: removed
Sep  1 08:29:44 MYFIRE postfix/smtp[912]: A60DE1CA05B: to=<hans@my.domain.de>, relay=192.yyy.yyy.yyy[192.yyy.yyy.yyy]:25, delay=0.05, delays=0/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <23FA9BB4-6486-4CF8-8A1A-335E1B21B66E@gmx.net> Queued mail for delivery)
Sep  1 08:29:44 MYFIRE postfix/qmgr[903]: A60DE1CA05B: removed
in der verify.db sehe ich auch den Empfänger hans@meine.domain.de. Ich glaub meine config passt noch nicht? ???

Hier mal meine postfix conf (ohne die address_verify_map / spamphrases-white/block und reject_unauth_destination, reject_unverified_recipient):

Code: Select all

:postconf -n
access_map_reject_code = 554
alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases
append_dot_mydomain = no
biff = no
body_checks = pcre:/etc/postfix/body_checks.pcre
bounce_queue_lifetime = 2h
bounce_template_file = /etc/postfix/bounce.cf
broken_sasl_auth_clients = no
command_directory = /usr/sbin
compatibility_level = 2
content_filter = amavislt:[127.0.0.1]:10024
daemon_directory = /usr/lib/postfix
default_rbl_reply = $rbl_code RBLTRAP: $client blocked using $rbl_domain Reason: $rbl_reason
delay_warning_time = 1h
header_checks = pcre:/etc/postfix/header_checks.pcre
html_directory = no
inet_interfaces = all
inet_protocols = ipv4
invalid_hostname_reject_code = 501
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
lmtp_tls_protocols = !SSLv2, !SSLv3
local_recipient_maps =
local_transport = error:local mail delivery is disabled
mail_owner = postfix
mailbox_size_limit = 0
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
maps_rbl_reject_code = 550
maximal_queue_lifetime = 4h
message_size_limit = 209715200
mime_header_checks = pcre:/etc/postfix/mime_header_checks.pcre
multi_recipient_bounce_reject_code = 550
mydestination = MY.EXCHANGE.LOCAL
mydomain = MY.DOMAIN.DE
myhostname = MY-HOST.DOMAIN.DE
mynetworks = 127.0.0.0/8, 192.YYY.YYY.YYY/32
mynetworks_style = host
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases
non_fqdn_reject_code = 504
plaintext_reject_code = 550
queue_directory = /var/spool/postfix
readme_directory = no
recipient_delimiter = +
reject_code = 554
relay_domains = MY.DOMAIN.DE
relay_domains_reject_code = 550
relay_recipient_maps = hash:/etc/postfix/relay_recipients
sample_directory = /etc/postfix
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_data_done_timeout = 300s
smtp_data_xfer_timeout = 60s
smtp_dns_support_level = dnssec
smtp_helo_timeout = 10s
smtp_mail_timeout = 60s
smtp_quit_timeout = 60s
smtp_rcpt_timeout = 60s
smtp_rset_timeout = 10s
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_starttls_timeout = 60s
smtp_tls_cert_file = /etc/postfix/zerti/KEY-NAME.pem
smtp_tls_exclude_ciphers = EXPORT,aNULL, DES, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2, RC4
smtp_tls_key_file = /etc/postfix/zerti/KEY-NAME.pem
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_verify_cert_match = hostname, nexthop, dot-nexthop
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_restrictions = permit_mynetworks, reject_invalid_hostname, check_client_access hash:/etc/postfix/smtpd_access, check_client_access hash:/etc/postfix/sld_access, check_client_access hash:/etc/postfix/tld_access, check_client_access hash:/etc/postfix/tld_new_access, regexp:/etc/postfix/ptr.cf, reject_unknown_client_hostname, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client dnsbl.inps.de, reject_multi_recipient_bounce, sleep 1, reject_unauth_pipelining, permit
smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit
smtpd_delay_reject = yes
smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_access
smtpd_error_sleep_time = 10
smtpd_hard_error_limit = 3
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_unauth_pipelining, check_helo_access hash:/etc/postfix/helo_access, reject_unknown_helo_hostname, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, permit_mynetworks, check_helo_access hash:/etc/postfix/sld_access, check_helo_access hash:/etc/postfix/tld_access, regexp:/etc/postfix/helo.cf, permit
smtpd_junk_command_limit = 2
smtpd_recipient_restrictions = reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, permit_mynetworks, permit
smtpd_sasl_auth_enable = no
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous ,noplaintext
smtpd_sasl_tls_security_options = noanonymous
smtpd_sasl_type = cyrus
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, permit_mynetworks, check_sender_access hash:/etc/postfix/sender_access, check_sender_access hash:/etc/postfix/sld_access, check_sender_access hash:/etc/postfix/tld_access, permit
smtpd_soft_error_limit = 1
smtpd_starttls_timeout = 60s
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/zerti/KEY-NAME.pem
smtpd_tls_ciphers = high
smtpd_tls_dh2048_param_file = /etc/postfix/zerti/KEY-NAME.pem
smtpd_tls_dh512_param_file = /etc/postfix/zerti/KEY-NAME.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_exclude_ciphers = EXPORT,aNULL ,DES, LOW, MD5, SEED, IDEA, RC2, RC4
smtpd_tls_key_file = /etc/postfix/zerti/KEY-NAME.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtputf8_enable = yes
soft_bounce = no
strict_rfc821_envelopes = yes
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
tls_high_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!RC4:!DES:!SSLv2:!MD5:!SSLV3:!3DES:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
tls_preempt_cipherlist = yes
transport_maps = hash:/etc/postfix/transport
unknown_address_reject_code = 550
unknown_client_reject_code = 550
unknown_hostname_reject_code = 550
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550
unverified_recipient_reject_code = 550
unverified_recipient_reject_reason = Recipient address lookup failed
unverified_sender_reject_code = 550
virtual_alias_maps = hash:/etc/postfix/virtual
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 545
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » September 1st, 2017, 12:11 pm

@5p9 alsooo meine postconf Ausgabe sieht bei smtpd_recipient_restrictions so aus :

Code: Select all

smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_destination, reject_unverified_recipient, permit
deine so:

Code: Select all

smtpd_recipient_restrictions = reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, permit_mynetworks, permit
Da simmt was nicht denn da ist noch reject_unlisted_recipient drin und reject_unverified_recipient fehlt. was auch immer du mit deiner main.cf angestellt hast... ??? :o Neustart postfix vergessen?
Grüße, gocart

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » September 28th, 2017, 6:26 am

Hey,

ich hätte da mal eine Frage an euch was ihr so von dieser Idee haltet. Ich würde gerne, da ich ja noch gelegendlich Spams erhalte, in Summe sehr wenige, aber dennoch rutscht mal eine durch die einen http - Link hinterlegt hat.

Ich würde gerne den body_check verwenden um bekannte Links mit einem REJECT zu versehen, z.B. von hier https://openphish.com/

Dies würde bedeuten ich müsste mir ein Script basteln, dass jene Inhalte mit einem regex versehen und in die body_checks inkl postmap & postfix reload durchführt.

Sinnig oder eher unsinnig? Alternativen / Favoriten noch zu openphish die ihr kennt? Listen gibts ja zu genüge.

VG, 5p9

EDIT: Hab noch dies hier gefunden. Mal sehen ob das was ist.
https://www.cyberciti.biz/tips/howto-se ... lware.html

EDIT2: Ich bin echt zu blöd die Leerzeichen raus zu bekommen:

Code: Select all

wget -O /path/2scripts/hosts.txt 'http://malwaredomainlist.com/hostslist/hosts.txt'

sed '/#/d;/^\[\[:space:\]\]*$/d;s/\<127.0.0.1\>//g' /path/2scripts/hosts.txt > /path/2scripts/hosts1.txt
Ich will nur die # Zeilen löschen, die Leerzeilen löschen und alle Zeichen 127.0.0.1 inkl. withe space. ??? Jemand da der meinen f(F)ehler findet?
Mail Gateway: mail proxy

Image

Image

5p9
Mentor
Mentor
Posts: 1853
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » September 28th, 2017, 6:52 am

Moin,

noch eine andere Frage. Ich habe zwar ebenfalls selten, aber dennoch ein paar Mails erhalten die bei Heise auch schon die Runde gemacht hat:
https://www.heise.de/security/meldung/A ... 34782.html

Was ich nicht ganz verstehe, ist dieses Verhalten normal?
Ich erhalte eine Mail von einem Mailsystem das auch als solches registriert ist, jedoch wird im header die "Von" Zeile so geändert, dass es aussieht das die Mail von einem Mitarbeiter kommt.

Im Log sieht natürlich alles sauber aus:

Code: Select all

Sep 26 11:09:45 myfire postfix/smtpd[9488]: connect from relay06.alfahosting-server.de[109.237.142.242]
Sep 26 11:09:45 myfire postfix/smtpd[9488]: Anonymous TLS connection established from relay06.alfahosting-server.de[109.237.142.242]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Sep 26 11:09:46 myfire postfix/smtpd[9488]: D07061CA055: client=relay06.alfahosting-server.de[109.237.142.242]
Sep 26 11:09:46 myfire postfix/cleanup[9690]: D07061CA055: message-id=<262011578437.20179269935@maine.domain.de>
Sep 26 11:09:46 myfire postfix/qmgr[7982]: D07061CA055: from=<kontakt@knoke-bestattungen.de>, size=1867, nrcpt=1 (queue active)
Sep 26 11:09:46 myfire amavis[9280]: (09280-07) LMTP :10024 /var/amavis/tmp/amavis-20170926T105804-09280-6NeBNRKo: <kontakt@knoke-bestattungen.de> -> <Empfänger@meine.domain.de> SIZE=1867 Received: from maine.domain.de ([127.0.0.1]) by localhost (maine.domain.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP for <Empfänger@meine.domain.de>; Tue, 26 Sep 2017 11:09:46 +0200 (CEST)
Sep 26 11:09:46 myfire postfix/smtpd[9488]: disconnect from relay06.alfahosting-server.de[109.237.142.242] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Sep 26 11:09:46 myfire amavis[9280]: (09280-07) Checking: bb8_OUClmuZX [109.237.142.242] <kontakt@knoke-bestattungen.de> -> <Empfänger@meine.domain.de>
Sep 26 11:09:48 myfire amavis[9280]: (09280-07) spam-tag, <kontakt@knoke-bestattungen.de> -> <Empfänger@meine.domain.de>, No, score=-0.42 required=3 tests=[BAYES_00=-1.9, FSL_HELO_BARE_IP_2=1.499, RCVD_IN_MSPIKE_H4=-0.01, RCVD_IN_MSPIKE_WL=-0.01, URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Sep 26 11:09:48 myfire postfix/smtpd[9536]: connect from localhost[127.0.0.1]
Sep 26 11:09:48 myfire postfix/smtpd[9536]: E71331CA058: client=localhost[127.0.0.1], orig_queue_id=D07061CA055, orig_client=relay06.alfahosting-server.de[109.237.142.242]
Sep 26 11:09:48 myfire postfix/cleanup[9690]: E71331CA058: message-id=<262011578437.20179269935@maine.domain.de>
Sep 26 11:09:48 myfire postfix/smtpd[9536]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Sep 26 11:09:48 myfire postfix/qmgr[7982]: E71331CA058: from=<kontakt@knoke-bestattungen.de>, size=2459, nrcpt=1 (queue active)
Sep 26 11:09:48 myfire amavis[9280]: (09280-07) bb8_OUClmuZX FWD from <kontakt@knoke-bestattungen.de> -> <Empfänger@meine.domain.de>, BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E71331CA058
Sep 26 11:09:48 myfire amavis[9280]: (09280-07) Passed CLEAN {RelayedInbound}, [109.237.142.242]:2814 [90.83.224.148] <kontakt@knoke-bestattungen.de> -> <Empfänger@meine.domain.de>, Queue-ID: D07061CA055, Message-ID: <262011578437.20179269935@maine.domain.de>, mail_id: bb8_OUClmuZX, Hits: -0.42, size: 1867, queued_as: E71331CA058, 2072 ms
Sep 26 11:09:48 myfire amavis[9280]: (09280-07) TIMING-SA [total 1998 ms, cpu 283 ms] - parse: 0.96 (0.0%), extract_message_metadata: 10 (0.5%), get_uri_detail_list: 0.73 (0.0%), tests_pri_-1000: 10 (0.5%), tests_pri_-950: 0.86 (0.0%), tests_pri_-900: 0.80 (0.0%), tests_pri_-400: 12 (0.6%), check_bayes: 11 (0.5%), b_tokenize: 4.2 (0.2%), b_tok_get_all: 2.8 (0.1%), b_comp_prob: 1.91 (0.1%), b_tok_touch_all: 0.16 (0.0%), b_finish: 0.48 (0.0%), tests_pri_0: 1866 (93.4%), check_dkim_signature: 0.46 (0.0%), check_dkim_adsp: 112 (5.6%), check_spf: 0.28 (0.0%), check_razor2: 1686 (84.4%), check_pyzor: 0.14 (0.0%), tests_pri_500: 81 (4.1%), poll_dns_idle: 74 (3.7%), get_report: 0.55 (0.0%)
Sep 26 11:09:48 myfire postfix/lmtp[9691]: D07061CA055: to=<Empfänger@meine.domain.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.4, delays=1.3/0/0/2.1, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E71331CA058)
Sep 26 11:09:48 myfire amavis[9280]: (09280-07) size: 1867, TIMING [total 2077 ms, cpu 310 ms, AM-cpu 27 ms, SA-cpu 283 ms] - SMTP greeting: 1.5 (0%)0, SMTP LHLO: 0.7 (0%)0, SMTP pre-MAIL: 0.7 (0%)0, SMTP MAIL: 0.9 (0%)0, SMTP pre-DATA-flush: 1.1 (0%)0, SMTP DATA: 37 (2%)2, check_init: 0.4 (0%)2, digest_hdr: 0.4 (0%)2, digest_body: 0.1 (0%)2, collect_info: 3.0 (0%)2, check_header: 0.9 (0%)2, AV-scan-1: 10 (1%)3, spam-wb-list: 0.6 (0%)3, SA msg read: 0.5 (0%)3, SA parse: 1.3 (0%)3, SA check: 1995 (96%)99, decide_mail_destiny: 4.4 (0%)99, notif-quar: 0.3 (0%)99, fwd-connect: 3.6 (0%)99, fwd-xforward: 0.4 (0%)99, fwd-mail-pip: 1.5 (0%)99, fwd-rcpt-pip: 0.2 (0%)99, fwd-data-chkpnt: 0.0 (0%)99, write-header: 0.6 (0%)99, fwd-data-contents: 0.1 (0%)99, fwd-end-chkpnt: 1.5 (0%)100, prepare-dsn: 0.5 (0%)100, report: 1.1 (0%)100, main_log_entry: 4.6 (0%)100, update_snmp: 2.0 (0%)100, SMTP pre-response: 0.3 (0%)100, SMTP response: 0.1 (0%)100, unlink-1-files: 0.2 (0%)100, rundown: 0.8 (0%)100
Sep 26 11:09:48 myfire amavis[9280]: (09280-07) size: 1867, RUSAGE minflt=26+0, majflt=0+0, nswap=0+0, inblock=0+0, oublock=200+0, msgsnd=0+0, msgrcv=0+0, nsignals=0+0, nvcsw=31+0, nivcsw=6+0, maxrss=90660+0, ixrss=0+0, idrss=0+0, isrss=0+0, utime=0.297+0.000, stime=0.010+0.000
Sep 26 11:09:48 myfire postfix/qmgr[7982]: D07061CA055: removed
Sep 26 11:09:49 myfire postfix/smtp[9790]: E71331CA058: to=<Empfänger@meine.domain.de>, relay=192.168.AAA.BBB[192.168.AAA.BBB]:25, delay=0.08, delays=0/0.01/0/0.06, dsn=2.6.0, status=sent (250 2.6.0  <262011578437.20179269935@maine.domain.de> Queued mail for delivery)
Sep 26 11:09:49 myfire postfix/qmgr[7982]: E71331CA058: removed

Jedoch im Mailheader sieht es so aus - zu beachten ist das letzte FROM: mit dem Fake-Absender (den es schon bei uns gibt):

Code: Select all

Microsoft Mail Internet Headers Version 2.0
Received: from maine.domain.de ([192.168.AAA.BBB]) by mailserver.domain.de;
	 Tue, 26 Sep 2017 11:10:30 +0200
Received: from localhost (localhost [127.0.0.1])
	by maine.domain.de (Postfix) with ESMTP id E71331CA058
	for <Empfänger@maine.domain.de>; Tue, 26 Sep 2017 11:09:48 +0200 (CEST)
X-Virus-Scanned: amavisd-new at maine.domain.de
X-Spam-Flag: NO
X-Spam-Score: -0.42
X-Spam-Level:
X-Spam-Status: No, score=-0.42 required=3 tests=[BAYES_00=-1.9,
	FSL_HELO_BARE_IP_2=1.499, RCVD_IN_MSPIKE_H4=-0.01,
	RCVD_IN_MSPIKE_WL=-0.01, URIBL_BLOCKED=0.001]
	autolearn=no autolearn_force=no
Received: from maine.domain.de ([127.0.0.1])
	by localhost (mailgw.maine.domain.de [127.0.0.1]) (amavisd-new, port 10024)
	with LMTP id bb8_OUClmuZX for <Empfänger@maine.domain.de>;
	Tue, 26 Sep 2017 11:09:46 +0200 (CEST)
Received: from relay06.alfahosting-server.de (relay06.alfahosting-server.de [109.237.142.242])
	(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
	(No client certificate requested)
	by maine.domain.de (Postfix) with ESMTPS id D07061CA055
	for <Empfänger@maine.domain.de>; Tue, 26 Sep 2017 11:09:45 +0200 (CEST)
Received: by relay01.alfahosting-server.de (Postfix, from userid 1001)
	id 20A6C32C331D; Tue, 26 Sep 2017 11:09:44 +0200 (CEST)
X-Spam-DCC: : 
Received: from alfa3032.alfahosting-server.de (alfa3032.alfahosting-server.de [109.237.138.44])
	by relay01.alfahosting-server.de (Postfix) with ESMTPS id 3C7CE32C3315
	for <Empfänger@maine.domain.de>; Tue, 26 Sep 2017 11:09:42 +0200 (CEST)
Received: from 10.0.0.25 (148-224.83-90.static-ip.oleane.fr [90.83.224.148])
	by alfa3032.alfahosting-server.de (Postfix) with ESMTPSA id D9CF68A2005
	for <Empfänger@maine.domain.de>; Tue, 26 Sep 2017 11:09:41 +0200 (CEST)
Date: Tue, 26 Sep 2017 11:09:35 +0100
From:  Fake-Absender@maine.domain.de <kontakt@knoke-bestattungen.de>
To: Empfänger@maine.domain.de
Message-ID: <262011578437.20179269935@maine.domain.de>
Subject: Rechnungs-Details 86258491945 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0009_FDEA1BC9.702CF9B3"
Return-Path: kontakt@knoke-bestattungen.de
X-OriginalArrivalTime: 26 Sep 2017 09:10:30.0996 (UTC) FILETIME=[4D67C140:01D336A7]
Kann man da, oder sollte man da etwas machen?

EDIT: Ich glaub der Anzeigename mit dem eigentlichen Sendername (E-Mailadresse) da werde ich wohl damit leben müssen. Jedenfalls finde ich dazu keine Abhilfe, bzw. vorbeugende Maßnahmen die dies zulassen könnte. Wäre ja auch gegen die RFC.
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 545
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » September 28th, 2017, 2:35 pm

Hallo 5p9,
diese Mails habe ich auch. Gegen Anzeigename kann man nix machen soweit ich weiß. Aus einem Forum:
Die Absender sind nicht wirklich gefälscht, es wird lediglich als Display-Name anstatt eines Namens eine existierende E-Mailadresse angegeben, die der Emotet-Trojaner aus Adressbüchern erbeutet hat. Der String des Display-Namens ist frei wählbar. Schlimm ist, dass sehr viele Mail-Clients wie Outlook nur den Display-Namen anzeigen
und noch woanders:
Es will mir nicht in den Kopf, warum SW-Entwickler derartige Tarnmöglichkeiten nicht unterbinden, selbst wenn es im RFC nicht eindeutig definiert ist.
Grüße, gocart

Post Reply