[E-Mail, Postfix] Spoofing von Absender verhindern

  • Guten Tag,


    MTA: Postfix
    MDA: Dovecot
    LDAP-Backend für Auth


    Ziel:
    Ich möchte gerne verhindern, dass Nutzer des eigenen Mailservers unter einer falschen Adresse der selben Domain senden können. So solle z.B. peter.pater@example.com nicht als bernd.mueller@example.com senden können. Konkret soll verhindert werden, dass der Mail From im Header mit einer falschen Adresse versehen werden kann.


    Aktuell:

    Bisher habe ich zumindest Postfix dahingehend konfiguriert, dass nicht mit einem falschen Envelope Sender Mails versendet werden können. Allerdings ist es immer noch möglich im Mail-Header den From -Eintrag zu fälschen. Aber genau dieses "From" im Mail-Header stellen die Clients als Absenderadresse dar. Und dies möchte ich gerne verhindern.


    Kennt jemand ein Verfahren oder einen Milter, welche die Adresse eines Senders über LDAP abfragen kann und entweder blockieren oder im günstigsten Fall umschreiben kann?

    Wie lösen andere E-Mail-Provider (vielleicht netcup) dieses Problem? Bei T-Online z.B. wird eine Mail mit einem falschen From angenommen, aber anschließend mit der korrekten eigenen Mailadresse ersetzt, sodass beim Empfänger immer die richtige eigene Adresse des Accounts zu sehen ist. Eine solche Funktionalität würde ich auch gerne umsetzen.


    Freue mich über Anregungen und Erfahrungen.


    Viele Grüße
    Fruchtfleisch

  • Die master.cf bekommt für den Submission-Dienst folgende Option:

    Code
    -o smtpd_sender_login_maps=ldap:/etc/postfix/ldap-sender-login-maps.cf

    Dazu dann noch als sender_restriction: reject_sender_login_mismatch


    ldap-sender-login-maps:


    Code
    server_host = ldaps://ldap.h6g-server.net:636
            ldaps://ldap2.h6g-server.net:636
    search_base = ou=user,dc=ldap,dc=h6g,dc=de
    query_filter = (mail=%s)
    result_attribute = uid
    
    bind_dn = cn=postfix,ou=service,dc=ldap,dc=h6g,dc=de
    bind_pw =

    In diesem Fall darf der Benutzer mit allen Mailadressen senden, die im Mail Attribut hinterlegt sind.

  • Vielen Dank.


    Genauso habe ich es derzeit auch konfiguriert. Das verhindert, dass über den Envelope falsche Adressen angegeben werden können. Leider ist dies jedoch keine Lösung für eine falsche Angabe im Mail-Header im FROM Feld. Wenn die E-Mail-Adresse im SMTP "Mail From" Command korrekt ist, geht diese durch. Dann kann aber immer noch der FROM-Eintrag im Mail-Header eine falsche Adresse besitzen. Clients, wie z.B. Thunderbird bieten ja die Möglichkeit, eine andere Adresse anzugeben. Dabei wird jedoch nur der FROM im Header verändert, während für den Submission Port die in den Kontoinformationen hinterlegte Mailadresse verwendet wird und damit durchgeht.


    Es müsste also eine Funktion geben, die praktisch den Mailheader berücksichtigt und entsprechend anpasst.

  • Das verhindert, dass über den Envelope falsche Adressen angegeben werden können. Leider ist dies jedoch keine Lösung für eine falsche Angabe im Mail-Header im FROM Feld.

    Kann ich bei mir nicht reproduzieren. Wenn ich bei Thunderbird als Absender z.B. postscam@h6g-server.net eintrage statt des postmasters Account lehnt der Server das Ordnungsgemäß ab:


    Code
    postfix/submission/smtpd[23702]: NOQUEUE: reject: RCPT from eta.h6g-server.net[185.194.140.199]: 553 5.7.1 <postscam@h6g-server.net>: Sender address rejected: not owned by user pzillmann; from=<postscam@h6g-server.net> to=<mail@paulzillmann.de> proto=ESMTP helo=<[172.20.20.100]>
  • Was hat denn der Client damit zu tun, wie der Server mit einer nicht passenden Absenderaddresse umgeht?

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Hay,

    Weil nicht jeder Client es zuläßt, daß diese Konstellation überhaupt auftritt;

    wtf? Nenne einen, bei dem ich die E-Mail-Adresse nicht eintragen kann, die ich will? Ok, der alte AOL-Client für AOL-Email, dann halt noch einen zweiten.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • mainziman Das ist doch egal?? :DEs geht doch darum zu verhindern, dass andere Leute Mails mit falschem Header senden. Dies kann man nicht damit unterbinden, indem man seinen eigenen Nutzern sagt "nutzt kein Thunderbird". Es sei denn, die gehorchen dir aufs Wort, aber dann musst du auch die falschen Header nicht blockieren.

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Soweit ich es verstanden hab ist die "Kombination", um die es geht, dass:


    - Envelope From eine gültige Absender-E-Mail enthält

    - From aber nicht


    Und Thunderbird wird wohl beides mit der selben falschen oder richtigen Absenderadresse befüllen.


    Was das genau bedeutet weiß ich nicht, dafür kenne ich mich im Detail zu wenig aus. Ich wollte lediglich aufzeigen wie ich den Sachverhalt verstanden habe.

  • Wenn beides richtig ist ist doch alles gut und wenn beides falsch ist, sollte der Server die Mail nicht annehmen. Steh ich auf dem Schlauch?

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

  • Genau so ist es wie Hecke29 es verstanden hat, es geht aber darum, daß der Envelope korrekt ist, aber im Mail-Header etwas anderes steht, was verhindert werden soll ...

    mfnalex keine Ahnung ob Du auf dem Schlauch stehst, ich kann ihn aber auf Überdruck bringen :D

    CmdrXay eher anders, nenne einen Mail-Client, welcher im Mail-Envelope etwas anderes nimmt als im Mail-Header ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Wenn beides richtig ist ist doch alles gut und wenn beides falsch ist, sollte der Server die Mail nicht annehmen. Steh ich auf dem Schlauch?

    Deshalb eignet sich Thunderbird ja auch nicht, weil dort die beiden Werte scheinbar immer gleich sind.


    Es geht darum, dass die beiden Werte unterschiedlich sind. Konkret hier die Kombination:

    - Envelope-From eine gültige Absender-E-Mail enthält

    - From aber nicht

    Wie gesagt kann ich das inhaltlich nicht so richtig beurteilen. Mein E-Mail-Wissen beschränkt sich grob gesagt auf: "Es gibt einen Sender und Empfänger" :D

  • Ich verstehe den Sinn der Diskussion hier nicht. Als Emailprovider überschreibe ich doch einfach das From und Envelope-From mit den Daten, wo der Benutzer sich authentifiziert hat.


    Wo seht ihr die Gefahr, dass dann dort etwas gefaked werden könnte?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Ich verstehe den Sinn der Diskussion hier nicht. Als Emailprovider überschreibe ich doch einfach das From und Envelope-From mit den Daten, wo der Benutzer sich authentifiziert hat.

    Genau das wird gesucht, also bitte gerne weiterhelfen, wenn du weißt wie das geht :D

    Kennt jemand ein Verfahren oder einen Milter, welche die Adresse eines Senders über LDAP abfragen kann und entweder blockieren oder im günstigsten Fall umschreiben kann?

  • Als Emailprovider überschreibe ich doch einfach das From und Envelope-From

    Das kannst Du genau nur dann machen, wenn es eine 1:1 Beziehung zwischen E-mail-Adresse und sich authentfizierbarem User gibt;

    sonst nicht;


    Wo seht ihr die Gefahr, dass dann dort etwas gefaked werden könnte?

    ganz einfach nimm nur dieses Beispiel:


    Mailprovider hat Domain example.com, der User 1 hat dort als E-mail-Adresse max@example.com

    und der User 2 hat dort E-mail-Adresse moritz@example.com


    und der Fake geht hier genau so: User 1, meldet sich mit seinen Daten an,

    die Mail hat als Mail-Envelope auch seine E-Mail-Adresse: max@example.com

    aber im Mail-Header steht dort die E-Mail-Adresse von User 2: moritz@example.com

    und beim Empfänger schaut die Mail auch so aus, als wenn sie von User 2 stammt;

    (SPF, DKIM, ... sind hier gültig; einzig - das wäre ein komplett anderes Problem - eine digitale Signatur

    der E-mail mit einem OV-S/MIME-Zertifikat bzw. qualifizierten Signatur selbst würde hier den Fake aufdecken ...)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)