noobone
Goto Top

Spam mit eigener Domain

Hallo Zusammen,

ihr kennt sicherlich das Problem, dass immer wieder Spam-Mails bei den Usern landen, die augenscheinlich von der eigenen
Domain versendet worden sind, z.B. scanner@domain.de.

Wir haben als Mailrelay ein Postfix mit Spamassassin und Amavis auf Debian installiert, welcher die Mails von unserem Provider
abholt, auf Viren scannt, filter und dann an unsere Exchange (2013) Postfächer verteilt.

Ich möchte das oben geschilderte Problem gerne lösen, sodass solche Mails automatisch blockiert werden.
Wie macht ihr das bzw. welche Möglichkeit würdet ihr vorschlagen?
Meine Gedanke ging in Richtung einer Art Überprüfung von Postfix bei den Exchange-Usern anhand der Mailadresse,
welche wir im Unternehmen auch wirklich einsetzen. Jedoch wüsste ich auch leider nicht, wie ich hier ansetzen müsste.

Um Tipps und Tricks wäre ich dankbar.
Wenn noch weitere Informationen gewünscht sind, bitte sagen!
Vielen Dank!

Content-ID: 322712

Url: https://administrator.de/forum/spam-mit-eigener-domain-322712.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

StefanKittel
StefanKittel 02.12.2016 um 08:46:27 Uhr
Goto Top
Hallo,

Zitat von @NoobOne:
welcher die Mails von unserem Provider abholt

das ist schon mal schlecht.
Die Mails sind ja schon zugestellt und Du versuchst nachträglich was zu filtern.
Die bösen Spammer arbeiten genau dagegen.

Besser ist der Empfang direkt per DNS-MX und SMTP.
Dann kannst Du ganz einfach mit SPF und DKIM solche Mails automatisch filtern.

Stefan
VoSp2016
VoSp2016 02.12.2016 um 09:01:53 Uhr
Goto Top
Hallo NoobOne,

nennt sich Recipient Address Verification. Gibt's tonnenweise Anleitungen und Blogposts im Netz:
Kannst die Empfänger entweder vom Exchange verifizieren lassen, oder direkt gegen das AD.

https://helpdesk.spamtitan.com/support/solutions/articles/4000003763-dyn ...
https://www.heinlein-support.de/blog/mailserver/exchange-2013-dynamische ...
usw.

An sich ist es eine gute Idee einfach alle Mails die "@meinedomain.de" im from: Feld haben abzulehnen. Von außen kann per Definition nichts kommen, das diese Domain legitim benutzt. Das sollte sich mit smtpd_sender_restrictions in Postfix lösen lassen, einfach mal googlen. Es gibt auch sehr gute "mit Postfix gegen Spam" HowTos da draussen.

Ich gebe Stefan aber recht, ich würde das Filtern von Spam und auch das Blocken von Mails dem Provider überlassen! Würde da mal mit dem Support sprechen.

Einen eigenen Mailserver zu betreiben hat 2 Bedingungen. Feste IP Adresse und solide Kenntnisse der Materie! Das hat leider nicht jeder, so finde ich gar nicht falsch diese Aufgaben dem Provider zu überlassen. Nur dann muss er auch ein bisschen mehr machen als nur stumpf alles in Eure Postfächer zu stecken.

Mfg

VoSp

P.S. Das mit dem "Provider muss mehr machen" funktioniert natürlich nicht mit dem 1&1 superbillig prima allinklusive 50 Postfächer + Domain für 3,99€ pro Monat Angebot... Das sollte dann schon ein professioneller Provider für Unternehmen sein.
Chonta
Chonta 02.12.2016 um 09:21:52 Uhr
Goto Top
Hallo,

Von außen kann per Definition nichts kommen,
Jein. Wenn es aber z.B. andere Server gibt, die z.B. Statusmails mit einer Domain versenden die der Exchange verwendet, dann kommen Mails von externen Server mit der internen Domain di eman haben will.

SPF ist auch nur bedingt zu gebrauchen, denn wenn man Mails weiterleitet an externe Mailadressen, klappt das dann nicht merh.
DKIM ist noch eine Option, wenn es umsetzbar ist.
Auf youtube mal nach den Videos von Peer Heinlein suchen, der erklärt die Spamproblematik sehr gut.

Ansonsten Blacklisten immer aktuell halten face-smile Evtl eine Regel erstellen wo für die Eigene Domain nur vertraute Absendeserver eingetragen werden (wenn das mit eurer Lösung umsetzbar ist)

Gruß

Chonta
SlainteMhath
SlainteMhath 02.12.2016 um 09:23:12 Uhr
Goto Top
Moin,

Wir haben als Mailrelay ein Postfix

in der main.cf:
check_sender_access hash:/etc/postfix/disallow_my_domain

in disallow_my_domain
deine-domain.de 554 Potentially spoofed Email

Fertig!

Lg,
Slainte
VoSp2016
VoSp2016 02.12.2016 aktualisiert um 09:40:21 Uhr
Goto Top
Da gebe ich Dir Recht Chonta. Aber wenn ich wirklich eigene Server außerhalb der Organisation stehen habe, Webserver z.B., dann dürfen die über das Mail Gateway nur relayen wenn sie sich authentifiziert haben! Jeder der sich authentifiziert hat darf natürlich mit jeglichem Absender senden.

Ansonsten halte ich es immer noch für eine schlechte Konfig Mails von außen anzunehmen die die eigene Domain als Absender tragen.

Die config von SlainteMhath sieht gut aus.
Frage ist nur ob das bei dem Kollegen auch funktioniert. Er hat ja auf seinem Postfix kein aussen<->innen. Der Postfix nimmt sowohl vom pop3 fetcher als auch vom Exchange Mails entgegen. Wie soll der Postfix da trennen ob es sich um Mails handelt die er blocken soll (vom pop fetcher), oder welche die er zum smarthost beim Provider senden soll (vom Exchange).
Da müsste sich der Exchange authentifizieren, es müsste 2 Netze geben etc.

VoSp
NoobOne
NoobOne 02.12.2016 um 10:25:44 Uhr
Goto Top
Hallo Zusammen,

ich hab die Variante von SlainteMhath ausprobiert. Leider war es nun so, dass
meine ausgehenden Nachrichten nicht mehr versendet wurden. Somit musste ich
das wieder zurückstellen.

Gibt's hier nicht auch noch ne Variante mit check_receipent_access anstatt für Sender?
Die Mails werden von Fetchmail abgeholt, vielleicht kann man hier sowas mit einbauen?
runasservice
runasservice 02.12.2016 aktualisiert um 10:47:20 Uhr
Goto Top
Zitat von @NoobOne:

ich hab die Variante von SlainteMhath ausprobiert. Leider war es nun so, dass
meine ausgehenden Nachrichten nicht mehr versendet wurden. Somit musste ich
das wieder zurückstellen.

Dann hast Du sicherlich nur den Eintrag permit_mynetworks vergessen!

Mit freundlichen Grüßen

PS: postfix config: eigene Domain von extern sperren
SlainteMhath
Lösung SlainteMhath 02.12.2016 aktualisiert um 10:55:16 Uhr
Goto Top
Ah sorry, mein Fehler, das muss natürlich
smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/disallow_my_domain
lauten. (Ggfs. sind hier bereits smtpd_recipient_restrictions eingetragen, dann einfach als neue Zeile anfügen).

ausgehenden Nachrichten nicht mehr versendet wurden
Wenn ihr die ausgehenden Mails auch über dne Postfix laufen lasst, dann klappt das natürlich nicht. Hast du evtl die Möglichkeit einen separaten Smarthost für ausgehende Mails einzusetzen?

@runasservice
permit_mynetworks
Ja, oder so face-smile
VoSp2016
VoSp2016 02.12.2016 aktualisiert um 10:57:51 Uhr
Goto Top
Genau das wird ja für Ihn zum Problem.

Sowohl sein Exchange wie auch sein Pop3 Fetcher sind ja clients aus "mynetworks". Er hat kein externes und internes netz wie normalerweise an Mails relays.
Was er nur machen kann ist auf dem Exchange direkt der Provider Smarthost eintragen und ausgehend den Postfix umgehen.

Das bedeutet aber auch wieder ein Loch mehr in der Firewall und ausgehende Mails werden nicht gescannt.

VoSp
runasservice
runasservice 02.12.2016 aktualisiert um 11:36:02 Uhr
Goto Top
Zitat von @VoSp2016:

Genau das wird ja für Ihn zum Problem.


Der Eintrag permit_mynetworks bezieht sich "nur" auf die Regel smtpd_recipient_restrictions:

smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        # Wer Spam liebt muss hier eingetragen werden
        # check_recipient_access hash:/etc/postfix/spam_lovers,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unknown_hostname,

        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,

        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,

        reject_unauth_pipelining,
        reject_unauth_destination,
        
       # Regel von SlainteMhath
       check_sender_access hash:/etc/postfix/disallow_my_domain,

       permit


Funktioniert soweit ohne Probleme.....


Mit freundlichen Grüßen

PS: Die eigenen Netze (mynetworks = 1.2.3.0/24, 192.168.200.0/24) als IP-Nummern......
VoSp2016
VoSp2016 02.12.2016 um 11:32:44 Uhr
Goto Top
Hmm, das verstehe ich noch nicht so ganz.

hast Du denn mal getestet was passiert wenn Du Dir von außen eine Mail schickst die xxx@deinedomain.de als Absender trägt?

Ich dachte das der Pop Fetcher die Mails ja an Postfix liefert, der Fetcher ist aber auch in mynetworks (oder 127.0.0.1). Somit müsste auch die Mail von aussen, über den Fetcher als Mail aus mynetworks gelten und nicht geblockt werden!?

Oder habe ich da noch einen Fehler in der Logik?

VoSp
runasservice
runasservice 02.12.2016 aktualisiert um 12:09:11 Uhr
Goto Top
Zitat von @VoSp2016:

Oder habe ich da noch einen Fehler in der Logik?


Nein natürlich nicht, ich habe die Antwort mit Fetchmail überlesen, Asche auf mein Hauptface-sad

Habe selbst kein Fetchmail (eigende IPs und Mailserver)...

Mit freundlichen Grüßen