Phishing Mails

Walter H. Walter.H at mathemainzel.info
Sa Jul 1 09:55:16 CEST 2017


On 01.07.2017 09:14, Joachim Fahrner wrote:
> Hallo,
>
> so langsam wird das hier zum (unfreiwilligen) Hobby mit den 
> Phishing-Mails.
>
> Ich frage mich gerade, warum das hier nicht abgewiesen wurde:
>
> Received: from mail.sicherheit.de (unknown [83.169.1.6])
>
> Die IP hat zwar einen Reverse pointer zu mail.sicherheit.de:
>
> $ host 83.169.1.6
> 6.1.169.83.in-addr.arpa domain name pointer mail.sicherheit.de.
>
> Aber mail.sicherheit.de hat eine ganz andere IP:
>
> $ host mail.sicherheit.de
> mail.sicherheit.de has address 72.52.10.14
>
der Klassiker, wobei die Ursache nicht mal zwingend bösartig war;
dies geschieht z.B. schon dadurch, wenn jemand mit seiner Domain zu 
einem anderen Hoster umzieht und
beim alten Hoster die reverse DNS Einträge nicht zurückgesetzt/geändert 
werden ...
(wobei das dann irgendwie der Beweis f. IPv4s im Überfluss wäre)

> Sowas müsste sich doch blocken lassen. Ist das nicht Bestandteil von 
> reject_invalid_helo_hostname?

damit blockierst nur die Mails, welche beim HELO eine Domain angeben, 
die es im DNS entweder nicht gibt oder
sonst was ...
wenn da jemand weil er lustig ist eben   mail.sicherheit.de angibt, geht 
das durch, wie Du ja selbst erkannt hast,
gibt es die;

interessanter wäre ein Mechanismus, der exakt die Mails durchläßt, wo 
die IP einen reverse DNS ergibt,
welcher tatsächlich ein forward DNS wieder diese IP ergibt ...
(damit hast den ganzen Quark, wo jemand irgendwas vorgaukelt, weg)


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3491 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20170701/8f25eea0/attachment.bin>


Mehr Informationen über die Mailingliste postfix-users