[Megoldva] Mail szűrés: saját domain a feladó nevében

Sziasztok!

Ezen az SPF nem segít. A küldő domain idegen, de teljesen valid, SPF, DKIM, +5-ös fokozatú reputation IP. Olyan tiszta, mint a ma született bárány.

De a feladó nevében ott van a céged neve vagy domain neve, amit a levelező programok kiírnak és eltakarják vele a tényleges domaint (valamilyen random, de valid domain). Szóval feladó neve: cégesdomain.hu <randomdomain.com>

Mancika meg beugrik neki...meg egyébként is spam, zavaró. Ki kellene irtani.

Milyen trükk van erre? Ugorjon minden olyan levélre, ahol a cég domain neve szerepel a feladó mezőben, de nem a céges smtp-ről jött.
Esetleg tudtok spamassassin filtert rá?

Postfix, SpamAssassin, Dovecot (+sieve) van.

Köszönöm!

Hozzászólások

Szerintem megoldhato a dolog, nem tudom fejbol hogyan, azt hiszem azok a host-ok amik az access-ben engedelyezve vannak kuldhetnek barmit, ezutan mar a header_checks megfogja a tobbit.

A masik megoldas a header_checks-ben olyan regex-et definialni ami csak a spammerekre illik ra, lehet nem egyszeru.

"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Szerkesztve: 2023. 03. 16., cs – 17:06

Akkor talan a te domainedre kellene beallitani a DMARC rekordot. Hogy kerul be hozzad a level a te domained neveben? Ezt mar 10+ eve is eldobtuk...

Nem a feladó domainjában van az én domainem, hanem a feladó nevében. A szabadon szerkeszthető részben, ahova azt írják, hogy Kis Béla. Erre a DMARC kevés. A from és sender domain teljesen valid, valami random idióta domain, beregelve, minden xar beállítva rá, amit csak lehet. Nem lehet belekötni.

Szerkesztve: 2023. 03. 16., cs – 17:49

Ugorjon minden olyan levélre, ahol a cég domain neve szerepel a feladó mezőben, de nem a céges smtp-ről jött.

Ez már 15-20 éve is kötelező beállítás volt. Postfix is elég régóta tudja szűrni. A SpamAssasin is biztos, de minek jutna el adding a levél?

Te a másik domain nevében történő levélküldésre gondolhatsz. Arra jó az SPF. De itt egy szabadon szerkeszthető névben szerepel, ami jellemzően maszkolja a mail címet és csak megjeleníti: Feladó Kis Béla. Na itt Kis Béla nevében nem név szerepel, hanem egy mail cím. Így vágja át a címzettet. Vagy csak annyit ír be névnek, hogy CÉGNEVED IT
A user meg benyalja. Ez itt szabad plain text, tudtommal nincs rá RFC.

Leeccerűsítve.. sok c-vel .

Mancikának is lehet beállítani ugye "nevet" ami független az email címtől. Az opának az a gondja, hogy hogyan lehetne kiszűrni ezeket a történeteket, ahol Mancika által beállított "név" van és az is jelenik meg a kliensben.. problem. Nem ugy jön a levél hogy 

Mert ugye, bejön egy email ami ilyen spam sz.r.

az bejön egy xydsfksdg@asds.hu -ról , de itt nem az van hogy átírják hogy a FROM az macnika@ceeeg.hu -ra .. hanem magában a megjelenítendő névben van a szopacs -> 'Mancika Cégtől' -> s mivel ilyen van a kliens oldalon
így egyből az jelenik majd meg az outlookban vagy egyébben, hogy 'Mancika Cégtől' .. ezen nem segíz a DMARC / DKIM szerintem ... 

Tehűt itt nem az a felűllás hogy valaki xy@xy.hu tényleges feladóként küld levelet xy@xy.hu domanra, mert azt a dmarc megeszi ... hanem itt a feladónév, stb. egyéb extránál van a problem. Az SMTP valószínűleg ugye ezt észre se veszi és nem fut DMARC tiltásra, mivel asdasdsad.com-ról jön a levél a teljes headert nem vizsgálja meg, stb. Ezért bejut.

De fixme. Csak egy kis találgatás volt.

Szerkesztve: 2023. 03. 16., cs – 21:10

Sikerült megoldani header_checks-ben:

if !/^Received:(.*?)x\.x\.x\.x(.*?)/
/^From: (.*@.*) <(.*@.*)>$/ REPLACE From: "[ADATHALASZ GYANUS] $2" <$2>
/^Reply-To: (.*@.*) <(.*@.*)>$/ REPLACE Reply-To: "[ADATHALASZ GYANUS] $2"<$2>
endif

Ahol az x.x.x.x a publikus céges smtp szerver.

Ez pedig adott cégnévre:

if !/^Received:(.*?)x\.x\.x\.x(.*?)/
/^From: (.*cégnév.*) <(.*@.*)>$/ REPLACE From: "[ADATHALASZ!] $2" <$2>
endif

 

Innen merítettem ihletet: https://serverfault.com/questions/1000775/first-step-to-combat-display-…

Pedig működik. Tesztelve saját és idegen smtpről is. Tudja az if endif közötti részt egységes blokként kezelni és függővé tenni az IF-ben levő feltétellel.

 

if /pattern/flags

endif  If  the  input  string  matches /pattern/, then match that input
              string against the patterns between if and endif.  The if..endif
              can nest.

              Note: do not prepend whitespace to patterns inside if..endif.

if !/pattern/flags

endif  If  the  input  string does not match /pattern/, then match that
              input string against the patterns  between  if  and  endif.  The
              if..endif can nest.