| View previous topic :: View next topic |
| Author |
Message |
Fijoldar
Apprentice
Joined: 10 Apr 2013
Posts: 248
|
 Posted: Thu Aug 27, 2015 10:42 am Post subject: [solved] Email unter falscher Identität verhindern |
 |
|
Hallo Forum,
ich betreibe einen eigenen Mail Server auf Gentoo Basis. Größenteils habe ich mich hier an die Anleitung aus https://wiki.gentoo.org/wiki/Complete_Virtual_Mail_Server orientiert. Ich nutze allerdings Dovecot statt Courier. Es kommen ausschließlich virtuelle Domains und User zum Einsatz, die ich in einer Postgres-Datenbank hinterlege.
Mich beschäftigt im Moment allerdings noch eine Frage: Wie kann ich es verhindern, dass Emails unter falscher Email-Adresse versendet werden?
Szenario. User A hat die Email Adresse user.a@domain1.de. Über Roundube oder Thunderbird richtet er sich eine andere Identität ein und verschickt die Email als user.b@domain4.de. Mein Mail Server stellt diese Email jetzt ohne Probleme zu. Der Empfänger kann anhand des Mail Headers nicht sehen, dass es sich hierbei um eine falsche Identität handelt.
Was ich jetzt bräuchte, wäre eine Überprüfung von Postfix, welches vor dem Versenden überprüft, ob diese Adresse einem Alias des Users zugeordnet ist. Oder gibt es da noch eine andere Möglichkeit?
Für jede Idee und Hinweis wäre ich dankbar  .
Viele Grüße
Fijoldar
------------------
EDIT: Nach etwas Ausprobieren habe ich es nun doch hinbekommen.
1. Falsche Absender Adressen blockieren
| Code: | | smtpd_recipient_restrictions = ...reject_sender_login_mismatch ... |
2. Aliase dennoch erlauben
| Code: | | smtpd_sender_login_maps = pgsql:/etc/postfix/pgsql/virtual_alias_maps.cf |
(falls man die Alias Datenbank wie in dem oben genannten Wiki-Artikel eingerichtet hat)
EDIT 2: Leider funktioniert die obige Methode nur für Mail Clients wie Thunderbird. Mit Roundcube ist es weiterhin möglich, Emails unter falscher Identität zu verschicken. Gibt es hier irgendeine spezielle Vorgehensweise?
EDIT 3: Hehe, man sollte etwas besser auf die Reihenfolge achten, wenn natürlich permit_mynetworks vor reject_sender_login_mismatch, steht, greift die Regel nicht, wenn Roundcube auf demselben Server läuft. |
|
| Back to top |
|
 |
misterjack
Veteran
Joined: 03 Oct 2004
Posts: 1655
|
| Posted: Thu Aug 27, 2015 4:21 pm Post subject: Re: [solved] Email unter falscher Identität verhindern |
|
|
| Fijoldar wrote: | | Wie kann ich es verhindern, dass Emails unter falscher Email-Adresse versendet werden? |
Mit reject_sender_login_mismatch schützt Du Dich lediglich vor der Manipulation des "Envelope Sender" (MAIL FROM:), siehe Postfix-Doku:
| Quote: |
reject_sender_login_mismatch
Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps. |
Das heißt, dass man trotzdem den "From:"-Eintrag im Mailheader weiterhin beliebig setzen kann. Da der "Envelope Sender" zum SMTP-Protokolls (RFC 5321) gehört und der "From" zum "Internet Message Format" (RFC 2822), sieht der Empfänger in der Regel nur den letzteren Eintrag.
In Postfix hat man per header_checks die Möglichkeit, letzteres zu überprüfen. Da das Thema meine Neugierde geweckt hat: Postfix den "From:"-Eintrag auf Manipulation überprüfen zu lassen wäre ziemlich aufwendig, zuerst würde man den "Envelope Sender" in den Mailheader schreiben müssen:
| /etc/postfix/main.cf wrote: | | smtpd_recipient_restrictions = check_sender_access pcre:/etc/postfix/envelope_from |
| /etc/postfix/envelope_from wrote: | | /(.*)/ prepend X-Envelope-From: <$1> |
Somit würde dann die Mail in Auszügen so aussehen:
| Code: |
X-Envelope-From: <foo@bar.baz>
From: Foo Bar <foo@bar.baz>
|
Anschließend müsste man per header_checks ein Pattern anwenden, was die beiden Einträge gegeneinander vergleicht. Geht das mit Regular Expressions überhaupt? Ansonsten müsste ein extra Filter diese Aufgabe übernehmen. Und es gibt jede Menge Stolpersteine:
- laut RFC 2822 darf bei From: mehrere E-Mail-Adressen angegeben werden
- Software wie Mailman übergibt unterschiedliche Adressen beim Envelope Sender (list-bounces@example.org) sowie From (list@example.org)
- ...
Kurzum: Lass es am besten  Die Post validiert auch nicht die Senderadresse. Die Frage ist eher: Warum möchtest Du das verhindern?
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“ |
|
| Back to top |
|
|
Fijoldar
Apprentice
Joined: 10 Apr 2013
Posts: 248
|
| Posted: Sat Aug 29, 2015 4:37 pm Post subject: |
|
|
Danke für die Info misterjack!
Die Option verhindert zumindest die einfache Manipulation mittels Thunderbird oder Roundcube. Mehr wollte ich erstmal nicht. Warum ich es verhindern möchte ist allerdings eine gute Frage. Es fühlte sich einfach "falsch" an. Es hatte jetzt in meinem Fall keinen Sicherheits-relevanten Hintergrund, reine Neugier meinerseits. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Deutsches Forum (German)
