Debian, opendmarc

IT
Comments

Alles @WORKPLACE.

Heu­te habe ich zum ers­ten Mal eine Spear phis­hing Mail gese­hen. Das war nicht son­der­lich span­nend, rein technisch.

From: "Ober Chef <oberchef@example.com>" <attacker@example.net>
To: <opfer@example.com>
Subject: Schieb mal Geld rueber

Das inter­es­san­te ist nun, daß Out­look (ja, nicht mei­ne Ent­schei­dung) schein­bar als Absen­der Ober Chef <oberchef@example.com anzeigt, die Ant­wort aber natür­lich an attacker@example.net geht. Diver­se mobi­le Cli­ents machen das schein­bar auch so.
Das ist ein Pro­blem, das ich tech­nisch nicht lösen kann, völ­lig unmög­lich. Da wer­den wir wohl regel­mä­ßig klei­ne­re Schu­lun­gen für die Gefähr­de­ten machen müssen.

Jeden­falls tauch­te in mei­nem Hin­ter­kopf eine unan­ge­neh­me Erin­ne­rung auf: Mei­ne Mail­do­main ist example.com, und ich neh­me aus dem Inter­net durch­aus Mails mit dem Absen­der user@example.com an. Ja, IHR macht das natür­lich nicht… Bis­lang hat­te ich mich damit raus­ge­re­det, daß SpamAss­as­sin ja SPF-Ver­let­zun­gen berück­sich­tigt. SPF ist aller­dings für Spam- und sons­ti­ge Abwehr mitt­ler­wei­le ver­brannt, weil jeder anstän­di­ge Spam­mer auch einen kor­rek­ten SPF-Record vor­wei­sen kann.
Und nu? Hm, ich habe nicht nur SPF, son­dern auch DMARC, schon län­ger. Aller­dings hat­te ich da immer nur als Bit­te an die ande­ren ver­stan­den, mein SPF und DKIM zu hono­rie­ren. Aber ich kann es doch auch bei mir ver­wen­den, schließ­lich sagt mein SPF. daß user@example.com nicht aus dem Inter­net kom­men kann! Und es war schon alles da: opend­m­arc instal­liert, aber weder gestar­tet noch von post­fix ver­wen­det (mil­ter natürlich)
also habe ich klei­ne­re Tei­le der Doku gele­sen, post­fix und opend­m­arc kon­fi­gu­riert, gestar­tet und von mei­nem Pri­vat­ser­ver­chen getes­tet. Ernüch­tern­de Erkennt­nis: 4xx TMPFAIL. Grund: Der Socket /var/run/opendmarc/opendmarc.sock war nicht schreib­bar. Abhil­fe: den Nut­zer post­fix in die Grup­pe opend­m­arc aufnehmen.
Wie­der getest: 550 5.7.1 rejected by DMARC policy for example.com — freu!
Uff! Geschafft! Ein Glas Wein holen. Schnell noch kurz die Logs über­flie­gen. WTF??? Die Mails von intern wer­den alle mit dem­sel­ben Code abge­lehnt, es gehen also nur noch Mails rein, kei­ne raus (ich nut­ze die MXe auch für aus­ge­hen­de Mails)
Doku lesen, wie ich es has­se! Ah, es braucht eine Datei, in der beschrie­ben wird, wer am SPF vor­bei sen­den darf.

root@mx1:~# tail -1 /etc/opendmarc.conf
IgnoreHosts /etc/opendmarc/hosts.ignore
root@mx1:~#

Und dort hin­ein dann die Net­ze und Hosts, die sen­den dürfen.

Alles wird gut…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert