Alles @WORKPLACE.
Heute habe ich zum ersten Mal eine Spear phishing Mail gesehen. Das war nicht sonderlich spannend, rein technisch.
From: "Ober Chef <oberchef@example.com>" <attacker@example.net> To: <opfer@example.com> Subject: Schieb mal Geld rueber
Das interessante ist nun, daß Outlook (ja, nicht meine Entscheidung) scheinbar als Absender Ober Chef <oberchef@example.com
anzeigt, die Antwort aber natürlich an attacker@example.net
geht. Diverse mobile Clients machen das scheinbar auch so.
Das ist ein Problem, das ich technisch nicht lösen kann, völlig unmöglich. Da werden wir wohl regelmäßig kleinere Schulungen für die Gefährdeten machen müssen.
Jedenfalls tauchte in meinem Hinterkopf eine unangenehme Erinnerung auf: Meine Maildomain ist example.com
, und ich nehme aus dem Internet durchaus Mails mit dem Absender user@example.com
an. Ja, IHR macht das natürlich nicht… Bislang hatte ich mich damit rausgeredet, daß SpamAssassin ja SPF-Verletzungen berücksichtigt. SPF ist allerdings für Spam- und sonstige Abwehr mittlerweile verbrannt, weil jeder anständige Spammer auch einen korrekten SPF-Record vorweisen kann.
Und nu? Hm, ich habe nicht nur SPF, sondern auch DMARC, schon länger. Allerdings hatte ich da immer nur als Bitte an die anderen verstanden, mein SPF und DKIM zu honorieren. Aber ich kann es doch auch bei mir verwenden, schließlich sagt mein SPF. daß user@example.com
nicht aus dem Internet kommen kann! Und es war schon alles da: opendmarc installiert, aber weder gestartet noch von postfix verwendet (milter natürlich)
also habe ich kleinere Teile der Doku gelesen, postfix und opendmarc konfiguriert, gestartet und von meinem Privatserverchen getestet. Ernüchternde Erkenntnis: 4xx TMPFAIL. Grund: Der Socket /var/run/opendmarc/opendmarc.sock
war nicht schreibbar. Abhilfe: den Nutzer postfix in die Gruppe opendmarc aufnehmen.
Wieder getest: 550 5.7.1 rejected by DMARC policy for example.com
— freu!
Uff! Geschafft! Ein Glas Wein holen. Schnell noch kurz die Logs überfliegen. WTF??? Die Mails von intern werden alle mit demselben Code abgelehnt, es gehen also nur noch Mails rein, keine raus (ich nutze die MXe auch für ausgehende Mails)
Doku lesen, wie ich es hasse! Ah, es braucht eine Datei, in der beschrieben wird, wer am SPF vorbei senden darf.
root@mx1:~# tail -1 /etc/opendmarc.conf IgnoreHosts /etc/opendmarc/hosts.ignore root@mx1:~#
Und dort hinein dann die Netze und Hosts, die senden dürfen.
Alles wird gut…