Phishing Mails

Robert Schetterer rs at sys4.de
Sa Jul 1 12:45:53 CEST 2017


Am 01.07.2017 um 09:55 schrieb Walter H.:
> On 01.07.2017 09:14, Joachim Fahrner wrote:
>> Hallo,
>>
>> so langsam wird das hier zum (unfreiwilligen) Hobby mit den
>> Phishing-Mails.
>>
>> Ich frage mich gerade, warum das hier nicht abgewiesen wurde:
>>
>> Received: from mail.sicherheit.de (unknown [83.169.1.6])
>>
>> Die IP hat zwar einen Reverse pointer zu mail.sicherheit.de:
>>
>> $ host 83.169.1.6
>> 6.1.169.83.in-addr.arpa domain name pointer mail.sicherheit.de.
>>
>> Aber mail.sicherheit.de hat eine ganz andere IP:
>>
>> $ host mail.sicherheit.de
>> mail.sicherheit.de has address 72.52.10.14
>>
> der Klassiker, wobei die Ursache nicht mal zwingend bösartig war;
> dies geschieht z.B. schon dadurch, wenn jemand mit seiner Domain zu
> einem anderen Hoster umzieht und
> beim alten Hoster die reverse DNS Einträge nicht zurückgesetzt/geändert
> werden ...
> (wobei das dann irgendwie der Beweis f. IPv4s im Überfluss wäre)
> 
>> Sowas müsste sich doch blocken lassen. Ist das nicht Bestandteil von
>> reject_invalid_helo_hostname?
> 
> damit blockierst nur die Mails, welche beim HELO eine Domain angeben,
> die es im DNS entweder nicht gibt oder
> sonst was ...
> wenn da jemand weil er lustig ist eben   mail.sicherheit.de angibt, geht
> das durch, wie Du ja selbst erkannt hast,
> gibt es die;
> 
> interessanter wäre ein Mechanismus, der exakt die Mails durchläßt, wo
> die IP einen reverse DNS ergibt,
> welcher tatsächlich ein forward DNS wieder diese IP ergibt ...
> (damit hast den ganzen Quark, wo jemand irgendwas vorgaukelt, weg)
> 
> 

 http://www.postfix.org/postconf.5.html#reject_unknown_reverse_client_hostname

Reject the request when the client IP address has no address->name mapping.
This is a weaker restriction than the reject_unknown_client_hostname
feature, which requires not only that the address->name and
name->address mappings exist, but also that the two mappings reproduce
the client IP address.
The unknown_client_reject_code parameter specifies the response code for
rejected requests (default: 450). The reply is always 450 in case the
address->name lookup failed due to a temporary problem.
This feature is available in Postfix 2.3 and later.



das gibt real aber zuviel Aerger, wenn man den anwenden will sollte man
vorfiltern, also nicht per se auf alles anwenden !


Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein


Mehr Informationen über die Mailingliste postfix-users