Schlagwort: Email

Debian, opendmarc

Alles @WORKPLACE.

Heu­te habe ich zum ers­ten Mal eine Spe­ar phis­hing Mail gese­hen. Das war nicht son­der­lich span­nend, rein tech­nisch.

From: "Ober Chef <oberchef@example.com>" <attacker@example.net>
To: <opfer@example.com>
Subject: Schieb mal Geld rueber

Das inter­es­san­te ist nun, daß Out­look (ja, nicht mei­ne Ent­schei­dung) schein­bar als Absen­der Ober Chef <oberchef@example.com anzeigt, die Ant­wort aber natür­lich an attacker@example.net geht. Diver­se mobi­le Cli­ents machen das schein­bar auch so.
Das ist ein Pro­blem, das ich tech­nisch nicht lösen kann, völ­lig unmög­lich. Da wer­den wir wohl regel­mä­ßig klei­ne­re Schu­lun­gen für die Gefähr­de­ten machen müs­sen.

Jeden­falls tauch­te in mei­nem Hin­ter­kopf eine unan­ge­neh­me Erin­ne­rung auf: Mei­ne Mail­do­main ist example.com, und ich neh­me aus dem Inter­net durch­aus Mails mit dem Absen­der user@example.com an. Ja, IHR macht das natür­lich nicht… Bis­lang hat­te ich mich damit raus­ge­re­det, daß Spa­m­As­sas­sin ja SPF-Ver­let­zun­gen berück­sich­tigt. SPF ist aller­dings für Spam- und sons­ti­ge Abwehr mitt­ler­wei­le ver­brannt, weil jeder anstän­di­ge Spam­mer auch einen kor­rek­ten SPF-Record vor­wei­sen kann.
Und nu? Hm, ich habe nicht nur SPF, son­dern auch DMARC, schon län­ger. Aller­dings hat­te ich da immer nur als Bit­te an die ande­ren ver­stan­den, mein SPF und DKIM zu hono­rie­ren. Aber ich kann es doch auch bei mir ver­wen­den, schließ­lich sagt mein SPF. daß user@example.com nicht aus dem Inter­net kom­men kann! Und es war schon alles da: opend­marc instal­liert, aber weder gestar­tet noch von post­fix ver­wen­det (mil­ter natür­lich)
also habe ich klei­ne­re Tei­le der Doku gele­sen, post­fix und opend­marc kon­fi­gu­riert, gestar­tet und von mei­nem Pri­vat­ser­ver­chen getes­tet. Ernüch­tern­de Erkennt­nis: 4xx TMPFAIL. Grund: Der Socket /var/run/opendmarc/opendmarc.sock war nicht schreib­bar. Abhil­fe: den Nut­zer post­fix in die Grup­pe opend­marc auf­neh­men.
Wie­der getest: 550 5.7.1 rejected by DMARC policy for example.com — freu!
Uff! Geschafft! Ein Glas Wein holen. Schnell noch kurz die Logs über­flie­gen. WTF??? Die Mails von intern wer­den alle mit dem­sel­ben Code abge­lehnt, es gehen also nur noch Mails rein, kei­ne raus (ich nut­ze die MXe auch für aus­ge­hen­de Mails)
Doku lesen, wie ich es has­se! Ah, es braucht eine Datei, in der beschrie­ben wird, wer am SPF vor­bei sen­den darf.

root@mx1:~# tail -1 /etc/opendmarc.conf
IgnoreHosts /etc/opendmarc/hosts.ignore
root@mx1:~#

Und dort hin­ein dann die Net­ze und Hosts, die sen­den dür­fen.

Alles wird gut…

0

Ist E-Mail so furchtbar?

Jeden­falls so, wie es bei Hei­se steht?

Seit 40 Jah­ren kämpft die Netz-Gemein­de gegen Spam.

Glau­be ich nicht.Ich betrei­be seit ca. 20 Jah­ren beruf­lich und pri­vat Mail­ser­ver, seit ca. 30 Jah­ren mache ich Email. UUCP und SMTP. Kids, es gab eine Zeit, in der wirk­lich jeder Mail­ser­ver für jeder­mann relay­ed hat. Weil es kein Spam­pro­blem gab.
Und eben seit 20 Jah­ren mehr oder min­der pro­fes­sio­nell, und die­se 20 Jah­re galt es schon immer die Spam-Pro­ble­ma­tik zu berück­sich­ti­gen. Aber es gab immer Soft­ware, die den Spam ganz gut fern gehal­ten hat. Klar, man muß sich damit beschäf­ti­gen, Doku lesen, kon­fi­gu­rie­ren, am Ball blei­ben. Das ist aber alles kein Hexen­werk und von jedem Mail­ad­min zu erwar­ten, auch dem­je­ni­gen, der das pri­vat als Hob­by betreibt. Da drau­ßen am WAN-Inter­face bal­lert der Wil­de Wes­ten!

Die MailOp-Lis­te ist voll von ver­zwei­fel­ten Rufen von Mail Admi­nis­tra­to­ren, die auf die­ser oder jener Black­list gelan­det sind.

Ja Gott, wer Spam ver­schickt, lan­det mit töd­li­cher Sicher­heit auf einer Blacklist[1]. Wer für sei­ne Sen­der nicht bür­gen kann, muß eben aus­ge­hend fil­tern.
Mein Vor­teil ist ja, daß ich die­ses Mail-Zeug von der Pike auf gelernt habe. Ich bemit­lei­de Admins, die zwar Group­ware-Ser­ver halb­wegs admi­nis­trie­ren kön­nen, auch deren Mail­kom­po­nen­te, die aber von Mail wie sie funk­tio­niert kaum Ahnung haben — und die man bes­ser nicht ans Inter­net läßt.

Mei­ne Emp­feh­lung für die­je­ni­gen, die es nicht sel­ber machen wol­len: Sucht euch einen Pro­vi­der, dem ihr ver­traut. Das kann gmail.com sein[2], das kann outlook.com[3] sein, ein guter Kan­di­dat ist aber sicher­lich auch ein deut­scher Pro­vi­der mit einer guten Repu­ta­ti­on.


  1. In der Tat, mei­ne größ­ten Spam­mer sind outlook.com und gmail.com — und die sind sicher­lich auf kei­ner Black­list. Das stinkt mir auch.
  2. Die ver­ste­hen wenigs­tens was von E-Mail
  3. Die nicht
0

ClamAV mit eigenen Signaturen

Auf Arbeit haben wir in letz­ter Zeit ver­mehrt unter Viren­mails zu lei­den, die von kei­nem der bei uns ver­wen­de­ten Viren­scan­ner als Viren­mails erkannt wer­den.
Auf G+ wur­de ich auf ein schon älte­res Pos­ting auf­merk­sam gemacht, das erklärt, wie man eige­ne Signa­tu­ren schreibt.

Geht wun­der­bar (ich habe den Cla­mAV aus den Quel­len sel­ber über­setzt):

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: OK

----------- SCAN SUMMARY -----------
Known viruses: 4137933
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 0
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 12.807 sec (0 m 12 s)
mailgate:/tmp #

Nix gefun­den, wir schie­ben die eige­ne Signa­tur an die rich­ti­ge Stel­le:

mailgate:/tmp # mv ISH-custumsigs.ndb /usr/local/clamav/share/clamav/
mailgate:/tmp #

Und dann noch­mal:

mailgate:/tmp # /usr/local/clamav/bin/clamscan invoice574206_1.pdf
invoice574206_1.pdf: ISH.Trojan.UNOFFICIAL FOUND

----------- SCAN SUMMARY -----------
Known viruses: 4137934
Engine version: 0.98.7
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.28 MB
Data read: 0.12 MB (ratio 2.29:1)
Time: 13.072 sec (0 m 13 s)
mailgate:/tmp #

Ich bin ent­zückt!

0

Mehr kann man gegen den Mißbrauch der eigenen Maildomain kaum tun,

den­ke ich jeden­falls:

~$ host -t spf sokoll.com.
sokoll.com has SPF record "v=spf1 mx -all"
~$ host -t txt sokoll.com.
sokoll.com descriptive text "v=spf1 mx -all"
~$ host -t txt 20131231._domainkey.sokoll.com.
;; Truncated, retrying in TCP mode.
20131231._domainkey.sokoll.com descriptive text "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAngk88Vza1xgQMl3NW1Ok" "sre+WnNcFIsCO5PIgR+Q9P/+o+mt3JkEzjBXv10/WDeYtzH6wuo/7dzyOoU2VuUt" "1Nf+7ae0KnMgAPH0MYiAJ7PcU4q9HOz/xbHqvmI4fBoWg7/0334okQPrKrWls/GC" "Jw2ghPJ7ktjD+rxYWgWiTG8jHWxvjyJWBo6oC6f9fxDxKF0SmMTzeRyEjVH7He94" "kNbvZX2xGu9rVRY8Mi5daTuAGFbpKJrAEDEWlLJmM6eNTSJ+tMl9VGsUQb0w3cAZ" "Im6r3LtLPAXbbBfIKMNONaRHVghgH+RTuTW3NQLemS7E84xdBfpAGpYWAZHmKwU5" "FJI35lUyke7GZClMdnzMlD5FeZKPRTfLir4kihgw4NhwxPQw53yTM0BZgAwqZtnW" "56psHdT6U4X5dPPFd4GZ1OaF2VzwLII2OG9w3NddgytoUVc3OKbwkjtulLJw6aBQ" "9hjxPaTGIPr4pPGmFY7nqFhAwzhirHYO0ioSUTX6LMWPmrpvAiGhpdcelwDkLsx1" "WTV5rEKmzKNPg8wDAePxgcWoO91Z6I2Bza5vUxR4/b2S8dgi7V5M5PhkA9DSd0Dy" "Pc0RAjqfr/oUsXUrru9bxG1/bGSJY8ivf9tOp5LJQxjtpHuTjMURe1uUeeNUJwlJ" "23WQdyk/X8ppgNXnuT4/AwMCAwEAAQ=="
~$ host -t txt _dmarc.sokoll.com.
_dmarc.sokoll.com descriptive text "v=DMARC1\; p=reject\; rua=mailto:dmarc@sokoll.com\; ruf=mailto:dmarc@sokoll.com\; adkim=r\; aspf=s\; pct=100\; rf=afrf\; ri=86400\; sp=reject"
~$

DMARC ist heu­te dazu­ge­kom­men und — hal­lo Flo­ri­an — GRÜN! 😉

0

Und tschüß, gmail!

Ges­ten hat­ten wir unse­ren Go Live 🙂

Mails an *@sokoll.com gehen nun nicht mehr zu Goog­le, son­dern blei­ben auf dem pri­va­ten Ser­ver. Web­mail, siche­res IMAPS und SMTP funk­tio­nie­ren, User kön­nen Wei­ter­lei­tun­gen und Paß­wör­ter sel­ber pfle­gen. Anti­vi­rus (na ja, wenn über­haupt, dan benö­tigt nur Flo­ri­an das 😉 ) und Antis­pam ein­ge­baut.

To-Dos: Miß­brauch erschwe­ren (SPF und DKIM ein­bau­en), Sie­ve hät­te ich auch ger­ne noch.

0