A peneira Dovecot permite a falsificação através do LMTP

3

Eu configurei o Postfix para bloquear a falsificação do seu e-mail (você só pode enviar e-mails como você):

smtpd_sender_restrictions =
        reject_authenticated_sender_login_mismatch

Eu configurei o Sieve and ManageSieve no servidor. Meus usuários agora podem configurar seus próprios scripts do Sieve para redirecionar e-mails recebidos para outras contas de e-mail externas. Isso tem um efeito colateral indesejado:

Meus usuários agora podem configurar um redirecionamento de todos os e-mails para [email protected]. Para enviar e-mails de spam do meu servidor, eles podem configurar seu próprio servidor de e-mail. De seu servidor de e-mail, eles podem enviar e-mails de spam para sua conta no meu servidor. Este e-mail é redirecionado pela Sieve com o endereço FROM especificado pelo seu próprio spoof server.

Isso significa que meus usuários podem enviar e-mails do meu servidor fingindo ser alguém. É por isso que quero fazer o Sieve alterar o endereço FROM para o e-mail do usuário e colocar o endereço original entre parênteses. Isso é possível?

    
por Friend of Kim 25.12.2014 / 19:20

1 resposta

1

Na verdade, esse recurso de peneira é uma função semelhante com o encaminhamento de email no nível MTA. Uma exceção é que o parâmetro copy na peneira pode manter o e-mail na caixa de entrada do usuário e, ao mesmo tempo, encaminhá-lo para outro e-mail.

O e-mail de encaminhamento não modifica o remetente de onde os e-mails vêm, apenas modifica o endereço do envelope do destinatário. Normalmente, o mecanismo de encaminhamento entra em conflito com o mecanismo antifalsificação, como o SPF . Assim, o método de redirecionamento e cópia na peneira herdou o mesmo problema com o encaminhamento. A documentação do do SPF propôs a SRS para resolver esse problema.

O SRS ou o Esquema de Reescrita de Remetentes irá reescrever o endereço do remetente para o seu domínio. Normalmente o SRS foi feito no nível MTA ao entregar o processo. Existe um tópico em SF sobre como implementar o SRS no postfix.

Como os Big Providers gerenciam o encaminhamento de e-mail em relação a esse problema de falsificação?

Como medida de segurança, se você configurar o endereço de encaminhamento, o GMAIL enviará um e-mail para verificar a existência e provar que você é o proprietário do endereço de e-mail de encaminhamento. Agora, suponha que você tenha verificado [email protected] como endereço de encaminhamento de [email protected]. Após o sucesso da verificação, o GMAIL encaminhará o e-mail e alterará o remetente para que ele se torne algo como [email protected] .

Na configuração do Yahoo, você precisa confirmar o endereço de encaminhamento também como o GMAIL. A diferença é que o Yahoo não tentará reescrever remetente como GMAIL. Em outras palavras, o Yahoo está falsificando o domínio do remetente como seu cenário acima.

Nota adicional:

O GMAIL sugere que você não altere o endereço do remetente durante o encaminhamento. Snippet da página de suporte Práticas recomendadas para encaminhar e-mails para o Gmail

We recommend that you do not change the envelope sender when forwarding email to Gmail. Sometimes, when forwarding email, the envelope sender gets changed to your domain. When this happens, Gmail may learn that your domain is sending spam, and will treat other emails from this domain as spam as well.

Alternatively, changing the envelope sender is ok if you do one of the following:

  • Put "SPAM" in the subject
  • OR discard any spam emails and not forward them to Gmail at all.
    
por 26.12.2014 / 13:54