Hallo,
unsere Securepoint kämpft immer mehr mit Spam, deren Absender so gefälscht wurde, dass er dem Empfänger entspricht. Das meiste wird gefiltert, aber einige kommen auch durch.
Da unser Mailsetup so aussieht, dass mit unserer Domain ausschliesslich von intern gesendet wird, aber keinesfalls von extern, ist die Frage, ob man in der SP einstellen kann, dass von extern eingehende Mail keinesfalls unsere Domain als Absender haben darf?
Ich habe mal gegoogelt und für Postfix scheint es da eine Konfiguration zu geben. So wie ich das sehe, läuft auf der SP aber Sendmail. Kann man das dennoch irgendwie einbauen?
Gruß,
M. Degen
Spam von eigener Absendedomain
Moderator: Securepoint
Hallo,
was sie versuchen könnten, ist das Folgende:
Klicken Sie auf Applications -> Spamfilter -> Regular Expressions
Dort legen Sie einen neuen Eintrag an:
Section: From
Expression: .*@ihredomain.tld
Mails, auf die diese Regel zutrifft werden dann als Spam deklariert.
was sie versuchen könnten, ist das Folgende:
Klicken Sie auf Applications -> Spamfilter -> Regular Expressions
Dort legen Sie einen neuen Eintrag an:
Section: From
Expression: .*@ihredomain.tld
Mails, auf die diese Regel zutrifft werden dann als Spam deklariert.
Hallo,
ich denke diese Loesung ist nicht so trivial wie im ersten Reply angedacht.
Sendmail lauscht auf der SP immer auf allen Interfaces und somit wuerden jegliche Mails in die REGEX laufen, da hier nicht auf das eingehende Interface weiter beachtet wird, was eben nicht angedacht ist.
Vielleicht finde ich etwas Zeit um das grosse O'Reilly-Kompedium zu befragen.
Gruss
M.Goeres
ich denke diese Loesung ist nicht so trivial wie im ersten Reply angedacht.
Sendmail lauscht auf der SP immer auf allen Interfaces und somit wuerden jegliche Mails in die REGEX laufen, da hier nicht auf das eingehende Interface weiter beachtet wird, was eben nicht angedacht ist.
Vielleicht finde ich etwas Zeit um das grosse O'Reilly-Kompedium zu befragen.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Nachtrag:
Ein paar Infos zum Mail-Handling waeren aber auch schoen.
- MXer auf der SP? - Oder Eingang via POP3?
- SP als zentrales Relay mit/ohne Smarthost?
AD-Auth moeglich?
Gruss
M.Goeres
Ein paar Infos zum Mail-Handling waeren aber auch schoen.
- MXer auf der SP? - Oder Eingang via POP3?
- SP als zentrales Relay mit/ohne Smarthost?
AD-Auth moeglich?
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
MX geht auf die SP
eingehende Mails werden auf einen internen Exchange2003-Server geroutet.
Empfängervalidierung über ADS wäre möglich, machen wir aber zur Zeit über die Adressliste auf der Firewall selbst. (Änderungen sind nicht sehr häufig und ich will nicht für jeden SMTP-Kontakt eine LDAP-Query haben, daher per Script Mail-Adressen exportieren und auf SP hochladen.)
Exchange versendet mit der SP als SmartHost, diese sendet aber direkt.
Email von unserer Domain wird ausschliesslich über den Exchange versendet. Auch Externe Benutzer senden immer über ihn (WebAccess oder VPN).
Gruß,
M.Degen
eingehende Mails werden auf einen internen Exchange2003-Server geroutet.
Empfängervalidierung über ADS wäre möglich, machen wir aber zur Zeit über die Adressliste auf der Firewall selbst. (Änderungen sind nicht sehr häufig und ich will nicht für jeden SMTP-Kontakt eine LDAP-Query haben, daher per Script Mail-Adressen exportieren und auf SP hochladen.)
Exchange versendet mit der SP als SmartHost, diese sendet aber direkt.
Email von unserer Domain wird ausschliesslich über den Exchange versendet. Auch Externe Benutzer senden immer über ihn (WebAccess oder VPN).
Gruß,
M.Degen
Zuletzt geändert von MDegen am Do 22.01.2009, 09:53, insgesamt 1-mal geändert.
Zur Ergänzung schreibe ich mal kurz, was ich für Postfix gefunden habe. Damit ist vielleicht klarer, worauf ich hinaus will:
Filterdefinition
Variable mynetworks (IPs der erlaubten Mailserver)
Tabelle /etc/postfix/reject_sender
Die Regeln werden abgearbeitet, bis eine zutrifft.
Demnach darf der eigene Server senden, da die 1. Regel zutrifft. Alle anderen müssen durch die nächste Regel und werden geblockt, wenn sie als Absender eine Domain aus der "reject_sender"-Tabelle verwenden.
Wenn man soetwas der SP beibringen könnte, wäre das nicht schlecht. Wenn ich mir anschaue, was so die Blacklists durchschlägt und im Spamfilter hängenbleibt, sind das im Moment bestimmt >80%, die diese Adressfälschung nutzen. Davon kommen dann zwar <1% durch den Spamfilter, aber das reicht um zu nerven...
Gruß,
M.Degen
Filterdefinition
Code: Alles auswählen
smtpd_sender_restrictions =
permit_mynetworks
check_sender_access hash:/etc/postfix/reject_sender
permitCode: Alles auswählen
mynetworks = 127.0.0.0/8, 192.168.1.9Code: Alles auswählen
example.com REJECT You are NOT from example.comDemnach darf der eigene Server senden, da die 1. Regel zutrifft. Alle anderen müssen durch die nächste Regel und werden geblockt, wenn sie als Absender eine Domain aus der "reject_sender"-Tabelle verwenden.
Wenn man soetwas der SP beibringen könnte, wäre das nicht schlecht. Wenn ich mir anschaue, was so die Blacklists durchschlägt und im Spamfilter hängenbleibt, sind das im Moment bestimmt >80%, die diese Adressfälschung nutzen. Davon kommen dann zwar <1% durch den Spamfilter, aber das reicht um zu nerven...
Gruß,
M.Degen
Ich bin noch am testen.
Anscheinend hat der Milter irgendwie Probleme mit den Regex, denn mal klappen die und mal nicht.
Das freischalten ist OK und kollidiert auch nicht mit dem Milter, da die Access-DB noch davor abgearbeitet wird.
An den M4-Klamotten rumfingern moechte ich ungern, da ich nicht abschaetzen kann, wie es sich bei einem Update auswirken wird.
Melde mich...
Gruss
M.Goeres
Anscheinend hat der Milter irgendwie Probleme mit den Regex, denn mal klappen die und mal nicht.
Das freischalten ist OK und kollidiert auch nicht mit dem Milter, da die Access-DB noch davor abgearbeitet wird.
An den M4-Klamotten rumfingern moechte ich ungern, da ich nicht abschaetzen kann, wie es sich bei einem Update auswirken wird.
Melde mich...
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Moin moin,
ich denke ich hab die Loesung, zumindest hat es hier in der Testumgebung einwandfrei funktioniert.
1. In der Regex wie schon beschrieben die Domain eintragen (From .*@tld).
2. In der Friendlist die IP des internen Mailserver (Exchange) eintragen.
3. Im Spamfilter falls aktiviert, anstatt "markieren", den Spam nun blocken
Somit werden alle Mails die in der Absenderadresse die Domain haben, als Spam klassifiziert, ausser die sendende IP kommt vom "friendly" Mailserver.
Einen Haken hat die Sache. Wenn das Bayes-Scoring sehr restrikiv ist, werden jetzt alle Mails, die als Spam klassifiziert werden geblockt, was natuerlich einen hoeheren Aufwand bei False-Positives beschert.
Gruss
M.Goeres
ich denke ich hab die Loesung, zumindest hat es hier in der Testumgebung einwandfrei funktioniert.
1. In der Regex wie schon beschrieben die Domain eintragen (From .*@tld).
2. In der Friendlist die IP des internen Mailserver (Exchange) eintragen.
3. Im Spamfilter falls aktiviert, anstatt "markieren", den Spam nun blocken
Somit werden alle Mails die in der Absenderadresse die Domain haben, als Spam klassifiziert, ausser die sendende IP kommt vom "friendly" Mailserver.
Einen Haken hat die Sache. Wenn das Bayes-Scoring sehr restrikiv ist, werden jetzt alle Mails, die als Spam klassifiziert werden geblockt, was natuerlich einen hoeheren Aufwand bei False-Positives beschert.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Hallo,
kann es sein, dass bei der Regex die eigene Domäne ohne * geschrieben werden muss?
also:
@unseredomain.de
und nicht:
*@unseredomain.de
Seit ich das so umgestellt habe, scheint das erst richtig zu greifen. Jedenfalls ist diese Wochenende nichts mehr durchgekommen.
Gruß,
M. Degen
kann es sein, dass bei der Regex die eigene Domäne ohne * geschrieben werden muss?
also:
@unseredomain.de
und nicht:
*@unseredomain.de
Seit ich das so umgestellt habe, scheint das erst richtig zu greifen. Jedenfalls ist diese Wochenende nichts mehr durchgekommen.
Gruß,
M. Degen
Der kleine aber feine Unterschied ist der "." :-)
Bei Platzthalten iss Perl ein bisel zickig.
Deswegen muss vor dem * der . eingetragen werden.
Mit der beschriebenen Loesung klappts auch, das ist die Hauptsache.
Gruss
M.Goeres
Bei Platzthalten iss Perl ein bisel zickig.
Deswegen muss vor dem * der . eingetragen werden.
Mit der beschriebenen Loesung klappts auch, das ist die Hauptsache.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
