Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Как заблокировать исходящие электронные письма с подделанными заголовками “От”?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Общее описание проблемы
  4. 2. Использование Postfix
  5. 2.1. Конфигурация reject_sender_login_mismatch
  6. 2.2. Настройка параметров для проверки заголовков
  7. 3. Использование Amavis и SpamAssassin
  8. 4. Политика и обучение пользователей
  9. Заключение

Вопрос или проблема

Я управляю стеком почтового сервера, используя Postfix, Dovecot, SpamAssassin и Amavis. Моя основная проблема заключается в исходящих email, когда аутентифицированные пользователи пытаются установить адрес From, отличающийся от их реальной личности, в частности нацеливаясь на внутренних и внешних пользователей с поддельными адресами отправителей, такими как [email protected].

Хотя я осведомлен о том, что существуют законные сценарии для отличия адресов конверта и заголовков From (например, для почтовых рассылок или системных уведомлений), в нашей среде нет никаких обоснованных случаев, когда обычные пользователи должны отправлять такие email. По политике, мы разрешаем только самому серверу использовать разные адреса конверта и заголовков для специфических системных функций — не пользователям через почтовые клиенты или пользовательские скрипты.

В настоящее время я использую reject_sender_login_mismatch в Postfix, который ограничивает отправителя конверта на основе карт пользователей, но он не обеспечивает соответствие между конвертом и заголовком From в теле сообщения.

Какой лучший способ настройки Postfix, Amavis или другого инструмента в этом стеке, чтобы предотвратить отправку аутентифицированными пользователями исходящих email с несоответствующими или поддельными заголовками From?

Ответ или решение

Чтобы блокировать исходящие электронные письма с подделанными заголовками "From" на вашем сервере электронной почты, управляемом на базе Postfix, Dovecot, SpamAssassin и Amavis, необходимо реализовать ряд стратегий для обеспечения соблюдения корпоративной политики. Понимание особенностей каждой части стека позволит вам эффективно настроить фильтрацию сообщений и предотвратить попытки отправки писем от имени других пользователей.

1. Общее описание проблемы

Проблема искажения заголовков "From" возникает в ситуациях, когда аутентифицированные пользователи пытаются использовать адреса, отличные от их реальной идентичности. Это может привести к падению уровня безопасности и потенциальному компрометированию репутации вашего домена. JavaScript кода и HTML-письма, которые также могут иметь различия между возвратным и подлинным адресом, требуют дополнительных мер предосторожности.

2. Использование Postfix

2.1. Конфигурация reject_sender_login_mismatch

Вы уже используете опцию reject_sender_login_mismatch, что хорошо, так как она защищает от несоответствий между аутентифицированным пользователем и адресом отправителя. Однако, как вы заметили, это не блокирует несоответствия между заголовком "From" и адресом в Envelope.

2.2. Настройка параметров для проверки заголовков

Для решения этой проблемы вам потребуется внести изменения в конфигурацию Postfix, добавив дополнительные фильтры. Рассмотрим некоторые из них:

  1. Модуль проверок отправителя: Убедитесь, что у вас установлен и настроен модуль smtpd_sender_restrictions. Добавьте правило для проверки заголовков сообщений:

    smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access, reject_non_fqdn_sender, reject_unknown_sender_domain

  2. using header_checks: Вы можете использовать header_checks для проверки заголовка "From":

    В файле main.cf, добавьте:

    header_checks = regexp:/etc/postfix/header_checks

    А в файле /etc/postfix/header_checks добавьте правило, которое будет блокировать письма с поддельными заголовками "From":

    /^From:.*<.*@example.com>$/      OK
/From:/                         REJECT Invalid sender

    Подкорректируйте example.com на ваш домен.

3. Использование Amavis и SpamAssassin

Amavis и SpamAssassin также могут помочь в фильтрации исходящих писем.

  1. Настройка Amavis: Вы можете использовать Amavis для проверки заголовков исходящих сообщений. В конфигурации Amavis добавьте фильтры для заголовков:

    @dnsbl_sites = (
   ...
);

# Заблокировать поддельные "From"
$final_reject_code = 550 ;

  2. SpamAssassin: Настройте SpamAssassin на проверку заголовков на уровне сообщений, добавив кастомные правила, которые будут ссылаться на заголовок "From". Это позволяет отклонять или помечать сообщения с аномальными заголовками.

4. Политика и обучение пользователей

Важно не только технически ограничивать возможность подделки заголовков, но и обучать сотрудников вашей компании о правилах использования корпоративной электронной почты. Разработайте четкие внутренние политики, которые объяснят, почему использование поддельных адресов "From" недопустимо, и какие последствия это может привести.

Заключение

Соблюдая описанные рекомендации и внедряя меры на уровне серверов, вы сможете значительно снизить риск отправки поддельных писем вашим пользователями. Регулярное обновление конфигурации, следование лучшим практикам и обучение сотрудников создадут надежную защиту для вашего почтового сервера и важной корпоративной информации.

email email-server postfix
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности