Schlagwort: Postfix

Debian, opendmarc

Alles @WORKPLACE.

Heu­te habe ich zum ers­ten Mal eine Spe­ar phis­hing Mail gese­hen. Das war nicht son­der­lich span­nend, rein tech­nisch.

From: "Ober Chef <oberchef@example.com>" <attacker@example.net>
To: <opfer@example.com>
Subject: Schieb mal Geld rueber

Das inter­es­san­te ist nun, daß Out­look (ja, nicht mei­ne Ent­schei­dung) schein­bar als Absen­der Ober Chef <oberchef@example.com anzeigt, die Ant­wort aber natür­lich an attacker@example.net geht. Diver­se mobi­le Cli­ents machen das schein­bar auch so.
Das ist ein Pro­blem, das ich tech­nisch nicht lösen kann, völ­lig unmög­lich. Da wer­den wir wohl regel­mä­ßig klei­ne­re Schu­lun­gen für die Gefähr­de­ten machen müs­sen.

Jeden­falls tauch­te in mei­nem Hin­ter­kopf eine unan­ge­neh­me Erin­ne­rung auf: Mei­ne Mail­do­main ist example.com, und ich neh­me aus dem Inter­net durch­aus Mails mit dem Absen­der user@example.com an. Ja, IHR macht das natür­lich nicht… Bis­lang hat­te ich mich damit raus­ge­re­det, daß Spa­m­As­sas­sin ja SPF-Ver­let­zun­gen berück­sich­tigt. SPF ist aller­dings für Spam- und sons­ti­ge Abwehr mitt­ler­wei­le ver­brannt, weil jeder anstän­di­ge Spam­mer auch einen kor­rek­ten SPF-Record vor­wei­sen kann.
Und nu? Hm, ich habe nicht nur SPF, son­dern auch DMARC, schon län­ger. Aller­dings hat­te ich da immer nur als Bit­te an die ande­ren ver­stan­den, mein SPF und DKIM zu hono­rie­ren. Aber ich kann es doch auch bei mir ver­wen­den, schließ­lich sagt mein SPF. daß user@example.com nicht aus dem Inter­net kom­men kann! Und es war schon alles da: opend­marc instal­liert, aber weder gestar­tet noch von post­fix ver­wen­det (mil­ter natür­lich)
also habe ich klei­ne­re Tei­le der Doku gele­sen, post­fix und opend­marc kon­fi­gu­riert, gestar­tet und von mei­nem Pri­vat­ser­ver­chen getes­tet. Ernüch­tern­de Erkennt­nis: 4xx TMPFAIL. Grund: Der Socket /var/run/opendmarc/opendmarc.sock war nicht schreib­bar. Abhil­fe: den Nut­zer post­fix in die Grup­pe opend­marc auf­neh­men.
Wie­der getest: 550 5.7.1 rejected by DMARC policy for example.com — freu!
Uff! Geschafft! Ein Glas Wein holen. Schnell noch kurz die Logs über­flie­gen. WTF??? Die Mails von intern wer­den alle mit dem­sel­ben Code abge­lehnt, es gehen also nur noch Mails rein, kei­ne raus (ich nut­ze die MXe auch für aus­ge­hen­de Mails)
Doku lesen, wie ich es has­se! Ah, es braucht eine Datei, in der beschrie­ben wird, wer am SPF vor­bei sen­den darf.

root@mx1:~# tail -1 /etc/opendmarc.conf
IgnoreHosts /etc/opendmarc/hosts.ignore
root@mx1:~#

Und dort hin­ein dann die Net­ze und Hosts, die sen­den dür­fen.

Alles wird gut…

0

Forward secrecy auf dem Mailserver

Das soll­te doch so pas­sen, oder?

~$ echo | openssl s_client -starttls smtp -connect mail.sokoll.com:25 2>/dev/null | egrep "^\ *Cipher"
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
~$ echo | openssl s_client -starttls smtp -connect mail.sokoll.com:587 2>/dev/null | egrep "^\ *Cipher"
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
~$ echo | openssl s_client -connect mail.sokoll.com:993 2>/dev/null | egrep "^\ *Cipher"
    Cipher    : DHE-RSA-AES256-GCM-SHA384
~$
0

Schnell noch was erledigen im alten Jahr

SPF:

$ host -t txt sokoll.com.
sokoll.com descriptive text "v=spf1 mx ~all"
$ host -t spf sokoll.com.
sokoll.com has SPF record "v=spf1 mx ~all"
$

Und gleich noch DKIM:

$ host -T -t txt 20131231._domainkey.sokoll.com.
20131231._domainkey.sokoll.com descriptive text "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAngk88Vza1xgQMl3NW1Ok" "sre+WnNcFIsCO5PIgR+Q9P/+o+mt3JkEzjBXv10/WDeYtzH6wuo/7dzyOoU2VuUt" "1Nf+7ae0KnMgAPH0MYiAJ7PcU4q9HOz/xbHqvmI4fBoWg7/0334okQPrKrWls/GC" "Jw2ghPJ7ktjD+rxYWgWiTG8jHWxvjyJWBo6oC6f9fxDxKF0SmMTzeRyEjVH7He94" "kNbvZX2xGu9rVRY8Mi5daTuAGFbpKJrAEDEWlLJmM6eNTSJ+tMl9VGsUQb0w3cAZ" "Im6r3LtLPAXbbBfIKMNONaRHVghgH+RTuTW3NQLemS7E84xdBfpAGpYWAZHmKwU5" "FJI35lUyke7GZClMdnzMlD5FeZKPRTfLir4kihgw4NhwxPQw53yTM0BZgAwqZtnW" "56psHdT6U4X5dPPFd4GZ1OaF2VzwLII2OG9w3NddgytoUVc3OKbwkjtulLJw6aBQ" "9hjxPaTGIPr4pPGmFY7nqFhAwzhirHYO0ioSUTX6LMWPmrpvAiGhpdcelwDkLsx1" "WTV5rEKmzKNPg8wDAePxgcWoO91Z6I2Bza5vUxR4/b2S8dgi7V5M5PhkA9DSd0Dy" "Pc0RAjqfr/oUsXUrru9bxG1/bGSJY8ivf9tOp5LJQxjtpHuTjMURe1uUeeNUJwlJ" "23WQdyk/X8ppgNXnuT4/AwMCAwEAAQ=="
$

Das muß sich jetzt nur noch welt­weit ‘rum­spre­chen — und dann: Nie­der mit den Spam­mern!

0

Aber es gibt mich doch!

Hm, mein post­fix infor­miert virusalert@dokoll.com, daß es virusalert@sokoll.com nicht gibt 🙂

Return-Path: >
X-Original-To: virusalert@sokoll.com
Delivered-To: rainer@sokoll.com
Received: by allinclusive.sokoll.com (Postfix)
	id 7FB311641DA9; Mon, 30 Dec 2013 14:11:28 +0100 (CET)
Date: Mon, 30 Dec 2013 14:11:28 +0100 (CET)
From: MAILER-DAEMON@sokoll.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: virusalert@sokoll.com
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="4EF5B1641DA4.1388409088/allinclusive.sokoll.com"
Message-Id: 20131230131128.7FB311641DA9@allinclusive.sokoll.com>

This is a MIME-encapsulated message.

--4EF5B1641DA4.1388409088/allinclusive.sokoll.com
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host allinclusive.sokoll.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

: unknown user: "virusalert@sokoll.com"

--4EF5B1641DA4.1388409088/allinclusive.sokoll.com
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; allinclusive.sokoll.com
Original-Envelope-Id: AM.22478-10.20131230T131128Z@allinclusive.sokoll.com
X-Postfix-Queue-ID: 4EF5B1641DA4
X-Postfix-Sender: rfc822; virusalert@sokoll.com
Arrival-Date: Mon, 30 Dec 2013 14:11:28 +0100 (CET)

Final-Recipient: rfc822; virusalert@sokoll.com
Original-Recipient: rfc822;virusalert@sokoll.com
Action: failed
Status: 5.1.1
Diagnostic-Code: X-Postfix; unknown user: "virusalert@sokoll.com"

--4EF5B1641DA4.1388409088/allinclusive.sokoll.com
Content-Description: Undelivered Message
Content-Type: message/rfc822

Return-Path: 
Received: from localhost (localhost [127.0.0.1])
	by allinclusive.sokoll.com (Postfix) with ESMTP id 4EF5B1641DA4
	for ; Mon, 30 Dec 2013 14:11:28 +0100 (CET)
Content-Type: multipart/mixed; boundary="----------=_1388409088-22478-0"
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
From: "Content-filter at allinclusive.sokoll.com" 
Date: Mon, 30 Dec 2013 14:11:25 +0100 (CET)
Subject: UNCHECKED contents in mail FROM [31.19.213.1]:57934
 
To: 
Message-ID: 

This is a multi-part message in MIME format...

------------=_1388409088-22478-0
Content-Type: text/plain; charset="UTF-8"
Content-Disposition: inline
Content-Transfer-Encoding: 7bit

No viruses were found.

Content type: Unchecked
Internal reference code for the message is 22478-10/A78uzE8Usbyq

First upstream SMTP client IP address: [31.19.213.1]
  31-19-213-1-dynip.superkabel.de
According to a 'Received:' trace, the message apparently originated at:
  [31.19.213.1], [192.168.1.66] 31-19-213-1-dynip.superkabel.de [31.19.213.1]

Return-Path: 
From: Moritz Sokoll 
Message-ID: 1388409107.5733.2.camel@blacky.sokoll>
Subject: Re: pubkey
Not quarantined.

The message WILL BE relayed to:



------------=_1388409088-22478-0
Content-Type: text/rfc822-headers; name="header"
Content-Disposition: inline; filename="header"
Content-Transfer-Encoding: 7bit
Content-Description: Message header section

Return-Path: 
Received: from [192.168.1.66] (31-19-213-1-dynip.superkabel.de [31.19.213.1])
	by allinclusive.sokoll.com (Postfix) with ESMTPSA id 15E821641DA2
	for ; Mon, 30 Dec 2013 14:11:25 +0100 (CET)
Message-ID: 1388409107.5733.2.camel@blacky.sokoll>
Subject: Re: pubkey
From: Moritz Sokoll 
To: Rainer Sokoll 
Date: Mon, 30 Dec 2013 14:11:47 +0100
In-Reply-To: 7B78A652-6F0E-47CA-AA22-10ADE3E57783@sokoll.com>
References: 1388352398.4816.1.camel@blacky.sokoll>
	 7B78A652-6F0E-47CA-AA22-10ADE3E57783@sokoll.com>
Content-Type: multipart/encrypted; protocol="application/pgp-encrypted";
	boundary="=-KvXiODwMiRpQjc4wbLw4"
X-Mailer: Evolution 3.8.4-0ubuntu1 
Mime-Version: 1.0

------------=_1388409088-22478-0--

--4EF5B1641DA4.1388409088/allinclusive.sokoll.com--

Wor­über soll­te ich mir Gedan­ken machen?

0