12
Spam mit eigener Domain
Hallo Zusammen,
ihr kennt sicherlich das Problem, dass immer wieder Spam-Mails bei den Usern landen, die augenscheinlich von der eigenen
Domain versendet worden sind, z.B. scanner@domain.de.
Wir haben als Mailrelay ein Postfix mit Spamassassin und Amavis auf Debian installiert, welcher die Mails von unserem Provider
abholt, auf Viren scannt, filter und dann an unsere Exchange (2013) Postfächer verteilt.
Ich möchte das oben geschilderte Problem gerne lösen, sodass solche Mails automatisch blockiert werden.
Wie macht ihr das bzw. welche Möglichkeit würdet ihr vorschlagen?
Meine Gedanke ging in Richtung einer Art Überprüfung von Postfix bei den Exchange-Usern anhand der Mailadresse,
welche wir im Unternehmen auch wirklich einsetzen. Jedoch wüsste ich auch leider nicht, wie ich hier ansetzen müsste.
Um Tipps und Tricks wäre ich dankbar.
Wenn noch weitere Informationen gewünscht sind, bitte sagen!
Vielen Dank!
ihr kennt sicherlich das Problem, dass immer wieder Spam-Mails bei den Usern landen, die augenscheinlich von der eigenen
Domain versendet worden sind, z.B. scanner@domain.de.
Wir haben als Mailrelay ein Postfix mit Spamassassin und Amavis auf Debian installiert, welcher die Mails von unserem Provider
abholt, auf Viren scannt, filter und dann an unsere Exchange (2013) Postfächer verteilt.
Ich möchte das oben geschilderte Problem gerne lösen, sodass solche Mails automatisch blockiert werden.
Wie macht ihr das bzw. welche Möglichkeit würdet ihr vorschlagen?
Meine Gedanke ging in Richtung einer Art Überprüfung von Postfix bei den Exchange-Usern anhand der Mailadresse,
welche wir im Unternehmen auch wirklich einsetzen. Jedoch wüsste ich auch leider nicht, wie ich hier ansetzen müsste.
Um Tipps und Tricks wäre ich dankbar.
Wenn noch weitere Informationen gewünscht sind, bitte sagen!
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322712
Url: https://administrator.de/contentid/322712
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
das ist schon mal schlecht.
Die Mails sind ja schon zugestellt und Du versuchst nachträglich was zu filtern.
Die bösen Spammer arbeiten genau dagegen.
Besser ist der Empfang direkt per DNS-MX und SMTP.
Dann kannst Du ganz einfach mit SPF und DKIM solche Mails automatisch filtern.
Stefan
das ist schon mal schlecht.
Die Mails sind ja schon zugestellt und Du versuchst nachträglich was zu filtern.
Die bösen Spammer arbeiten genau dagegen.
Besser ist der Empfang direkt per DNS-MX und SMTP.
Dann kannst Du ganz einfach mit SPF und DKIM solche Mails automatisch filtern.
Stefan
Hallo NoobOne,
nennt sich Recipient Address Verification. Gibt's tonnenweise Anleitungen und Blogposts im Netz:
Kannst die Empfänger entweder vom Exchange verifizieren lassen, oder direkt gegen das AD.
https://helpdesk.spamtitan.com/support/solutions/articles/4000003763-dyn ...
https://www.heinlein-support.de/blog/mailserver/exchange-2013-dynamische ...
usw.
An sich ist es eine gute Idee einfach alle Mails die "@meinedomain.de" im from: Feld haben abzulehnen. Von außen kann per Definition nichts kommen, das diese Domain legitim benutzt. Das sollte sich mit smtpd_sender_restrictions in Postfix lösen lassen, einfach mal googlen. Es gibt auch sehr gute "mit Postfix gegen Spam" HowTos da draussen.
Ich gebe Stefan aber recht, ich würde das Filtern von Spam und auch das Blocken von Mails dem Provider überlassen! Würde da mal mit dem Support sprechen.
Einen eigenen Mailserver zu betreiben hat 2 Bedingungen. Feste IP Adresse und solide Kenntnisse der Materie! Das hat leider nicht jeder, so finde ich gar nicht falsch diese Aufgaben dem Provider zu überlassen. Nur dann muss er auch ein bisschen mehr machen als nur stumpf alles in Eure Postfächer zu stecken.
Mfg
VoSp
P.S. Das mit dem "Provider muss mehr machen" funktioniert natürlich nicht mit dem 1&1 superbillig prima allinklusive 50 Postfächer + Domain für 3,99€ pro Monat Angebot... Das sollte dann schon ein professioneller Provider für Unternehmen sein.
nennt sich Recipient Address Verification. Gibt's tonnenweise Anleitungen und Blogposts im Netz:
Kannst die Empfänger entweder vom Exchange verifizieren lassen, oder direkt gegen das AD.
https://helpdesk.spamtitan.com/support/solutions/articles/4000003763-dyn ...
https://www.heinlein-support.de/blog/mailserver/exchange-2013-dynamische ...
usw.
An sich ist es eine gute Idee einfach alle Mails die "@meinedomain.de" im from: Feld haben abzulehnen. Von außen kann per Definition nichts kommen, das diese Domain legitim benutzt. Das sollte sich mit smtpd_sender_restrictions in Postfix lösen lassen, einfach mal googlen. Es gibt auch sehr gute "mit Postfix gegen Spam" HowTos da draussen.
Ich gebe Stefan aber recht, ich würde das Filtern von Spam und auch das Blocken von Mails dem Provider überlassen! Würde da mal mit dem Support sprechen.
Einen eigenen Mailserver zu betreiben hat 2 Bedingungen. Feste IP Adresse und solide Kenntnisse der Materie! Das hat leider nicht jeder, so finde ich gar nicht falsch diese Aufgaben dem Provider zu überlassen. Nur dann muss er auch ein bisschen mehr machen als nur stumpf alles in Eure Postfächer zu stecken.
Mfg
VoSp
P.S. Das mit dem "Provider muss mehr machen" funktioniert natürlich nicht mit dem 1&1 superbillig prima allinklusive 50 Postfächer + Domain für 3,99€ pro Monat Angebot... Das sollte dann schon ein professioneller Provider für Unternehmen sein.
Hallo,
SPF ist auch nur bedingt zu gebrauchen, denn wenn man Mails weiterleitet an externe Mailadressen, klappt das dann nicht merh.
DKIM ist noch eine Option, wenn es umsetzbar ist.
Auf youtube mal nach den Videos von Peer Heinlein suchen, der erklärt die Spamproblematik sehr gut.
Ansonsten Blacklisten immer aktuell halten
Evtl eine Regel erstellen wo für die Eigene Domain nur vertraute Absendeserver eingetragen werden (wenn das mit eurer Lösung umsetzbar ist)
Gruß
Chonta
Von außen kann per Definition nichts kommen,
Jein. Wenn es aber z.B. andere Server gibt, die z.B. Statusmails mit einer Domain versenden die der Exchange verwendet, dann kommen Mails von externen Server mit der internen Domain di eman haben will.SPF ist auch nur bedingt zu gebrauchen, denn wenn man Mails weiterleitet an externe Mailadressen, klappt das dann nicht merh.
DKIM ist noch eine Option, wenn es umsetzbar ist.
Auf youtube mal nach den Videos von Peer Heinlein suchen, der erklärt die Spamproblematik sehr gut.
Ansonsten Blacklisten immer aktuell halten
Evtl eine Regel erstellen wo für die Eigene Domain nur vertraute Absendeserver eingetragen werden (wenn das mit eurer Lösung umsetzbar ist)Gruß
Chonta
Moin,
in der main.cf:
in disallow_my_domain
Fertig!
Lg,
Slainte
Wir haben als Mailrelay ein Postfix
in der main.cf:
check_sender_access hash:/etc/postfix/disallow_my_domainin disallow_my_domain
deine-domain.de 554 Potentially spoofed EmailFertig!
Lg,
Slainte
Da gebe ich Dir Recht Chonta. Aber wenn ich wirklich eigene Server außerhalb der Organisation stehen habe, Webserver z.B., dann dürfen die über das Mail Gateway nur relayen wenn sie sich authentifiziert haben! Jeder der sich authentifiziert hat darf natürlich mit jeglichem Absender senden.
Ansonsten halte ich es immer noch für eine schlechte Konfig Mails von außen anzunehmen die die eigene Domain als Absender tragen.
Die config von SlainteMhath sieht gut aus.
Frage ist nur ob das bei dem Kollegen auch funktioniert. Er hat ja auf seinem Postfix kein aussen<->innen. Der Postfix nimmt sowohl vom pop3 fetcher als auch vom Exchange Mails entgegen. Wie soll der Postfix da trennen ob es sich um Mails handelt die er blocken soll (vom pop fetcher), oder welche die er zum smarthost beim Provider senden soll (vom Exchange).
Da müsste sich der Exchange authentifizieren, es müsste 2 Netze geben etc.
VoSp
Ansonsten halte ich es immer noch für eine schlechte Konfig Mails von außen anzunehmen die die eigene Domain als Absender tragen.
Die config von SlainteMhath sieht gut aus.
Frage ist nur ob das bei dem Kollegen auch funktioniert. Er hat ja auf seinem Postfix kein aussen<->innen. Der Postfix nimmt sowohl vom pop3 fetcher als auch vom Exchange Mails entgegen. Wie soll der Postfix da trennen ob es sich um Mails handelt die er blocken soll (vom pop fetcher), oder welche die er zum smarthost beim Provider senden soll (vom Exchange).
Da müsste sich der Exchange authentifizieren, es müsste 2 Netze geben etc.
VoSp
Hallo Zusammen,
ich hab die Variante von SlainteMhath ausprobiert. Leider war es nun so, dass
meine ausgehenden Nachrichten nicht mehr versendet wurden. Somit musste ich
das wieder zurückstellen.
Gibt's hier nicht auch noch ne Variante mit check_receipent_access anstatt für Sender?
Die Mails werden von Fetchmail abgeholt, vielleicht kann man hier sowas mit einbauen?
ich hab die Variante von SlainteMhath ausprobiert. Leider war es nun so, dass
meine ausgehenden Nachrichten nicht mehr versendet wurden. Somit musste ich
das wieder zurückstellen.
Gibt's hier nicht auch noch ne Variante mit check_receipent_access anstatt für Sender?
Die Mails werden von Fetchmail abgeholt, vielleicht kann man hier sowas mit einbauen?
Zitat von @NoobOne:
ich hab die Variante von SlainteMhath ausprobiert. Leider war es nun so, dass
meine ausgehenden Nachrichten nicht mehr versendet wurden. Somit musste ich
das wieder zurückstellen.
ich hab die Variante von SlainteMhath ausprobiert. Leider war es nun so, dass
meine ausgehenden Nachrichten nicht mehr versendet wurden. Somit musste ich
das wieder zurückstellen.
Dann hast Du sicherlich nur den Eintrag permit_mynetworks vergessen!
Mit freundlichen Grüßen
PS: postfix config: eigene Domain von extern sperren
Ah sorry, mein Fehler, das muss natürlich
lauten. (Ggfs. sind hier bereits smtpd_recipient_restrictions eingetragen, dann einfach als neue Zeile anfügen).
@runasservice
smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/disallow_my_domainausgehenden Nachrichten nicht mehr versendet wurden
Wenn ihr die ausgehenden Mails auch über dne Postfix laufen lasst, dann klappt das natürlich nicht. Hast du evtl die Möglichkeit einen separaten Smarthost für ausgehende Mails einzusetzen?@runasservice
permit_mynetworks
Ja, oder so
Genau das wird ja für Ihn zum Problem.
Sowohl sein Exchange wie auch sein Pop3 Fetcher sind ja clients aus "mynetworks". Er hat kein externes und internes netz wie normalerweise an Mails relays.
Was er nur machen kann ist auf dem Exchange direkt der Provider Smarthost eintragen und ausgehend den Postfix umgehen.
Das bedeutet aber auch wieder ein Loch mehr in der Firewall und ausgehende Mails werden nicht gescannt.
VoSp
Sowohl sein Exchange wie auch sein Pop3 Fetcher sind ja clients aus "mynetworks". Er hat kein externes und internes netz wie normalerweise an Mails relays.
Was er nur machen kann ist auf dem Exchange direkt der Provider Smarthost eintragen und ausgehend den Postfix umgehen.
Das bedeutet aber auch wieder ein Loch mehr in der Firewall und ausgehende Mails werden nicht gescannt.
VoSp
Der Eintrag permit_mynetworks bezieht sich "nur" auf die Regel smtpd_recipient_restrictions:
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
# Wer Spam liebt muss hier eingetragen werden
# check_recipient_access hash:/etc/postfix/spam_lovers,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_unknown_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_unauth_destination,
# Regel von SlainteMhath
check_sender_access hash:/etc/postfix/disallow_my_domain,
permitFunktioniert soweit ohne Probleme.....
Mit freundlichen Grüßen
PS: Die eigenen Netze (mynetworks = 1.2.3.0/24, 192.168.200.0/24) als IP-Nummern......
Hmm, das verstehe ich noch nicht so ganz.
hast Du denn mal getestet was passiert wenn Du Dir von außen eine Mail schickst die xxx@deinedomain.de als Absender trägt?
Ich dachte das der Pop Fetcher die Mails ja an Postfix liefert, der Fetcher ist aber auch in mynetworks (oder 127.0.0.1). Somit müsste auch die Mail von aussen, über den Fetcher als Mail aus mynetworks gelten und nicht geblockt werden!?
Oder habe ich da noch einen Fehler in der Logik?
VoSp
hast Du denn mal getestet was passiert wenn Du Dir von außen eine Mail schickst die xxx@deinedomain.de als Absender trägt?
Ich dachte das der Pop Fetcher die Mails ja an Postfix liefert, der Fetcher ist aber auch in mynetworks (oder 127.0.0.1). Somit müsste auch die Mail von aussen, über den Fetcher als Mail aus mynetworks gelten und nicht geblockt werden!?
Oder habe ich da noch einen Fehler in der Logik?
VoSp
Nein natürlich nicht, ich habe die Antwort mit Fetchmail überlesen, Asche auf mein Haupt
Habe selbst kein Fetchmail (eigende IPs und Mailserver)...
Mit freundlichen Grüßen
