in letzter Zeit erhalten wir in unserem Unternehmen viele E-Mails mit gefälschten Anzeigenamen, in denen Kunden und Lieferanten imitiert werden. Da meine Mitarbeiter leider nicht viel auf Sicherheitswarnungen usw. achten, konnte ich mich nicht darauf verlassen, dass sie sich der Bedrohung bewusst sind. Ich habe stundenlang bei Google gesucht und keine zufriedenstellende Lösung dafür gefunden. Zumindest keine einfache, die keine kostenpflichtigen Tools von Drittanbietern usw. beinhaltete.
Ich bin auf eine elegante und einfache Lösung gestoßen, die darin besteht, der Datei header_checks die folgenden Zeilen hinzuzufügen:
/^From: (.*@.*) (.*@.*)$/ REPLACE From: "PHISHING!!!" $2
/^Reply-To: (.*@.*) (.*@.*)$/ REPLACE Reply-To: "PHISHING!!!" $2
Diese beiden Zeilen prüfen im Wesentlichen, ob im From-Header zwei E-Mail-Adressen vorhanden sind. Wenn ja, nehmen wir an, dass die erste die gefälschte ist. Dann wird der From-Header einfach umgeschrieben, der gefälschte Absender wird durch PHISHING ersetzt und die echte Absenderadresse bleibt erhalten.
Anschließend würde man die geänderte header_checks-Datei einfach nach Postfix mappen:
postmap -r header_checks
Laden Sie die Konfiguration neu:
postfix reload
und führen Sie einen Test aus, ob der Header_Check korrekt angewendet wurde:
postmap -q "From: Fake Sender <[email protected]> <[email protected]>" regexp:/etc/postfix/header_checks
Dieser Befehl sollte etwa Folgendes zurückgeben:
REPLACE From: "PHISHING!!!" <[email protected]>
wenn ein positiver Treffer vorliegt. Wenn negativ, erfolgt keine Ausgabe.
Ich hoffe, dies hilft jemandem da draußen, der das gleiche Problem hat.
Grüße
Antwort1
Ich hatte dieses Problem auf unserem Firmen-Mailserver. Da wir unsere eigene E-Mail-Domäne validieren, können nur angemeldete Benutzer von dort aus senden. Deshalb habe ich Ihre Syntax ein wenig geändert.
/^From: (.*@.*) <(.*@.*)>$/ REPLACE From: "[POSSIBLE PHISHING] $2" <$2>
/^Reply-To: (.*@.*) <(.*@.*)>$/ REPLACE Reply-To: "[POSSIBLE PHISHING] $2" <$2>
Auf diese Weise kann der E-Mail-Empfänger wissen, wer der Absender ist. Ihr Code kann zu Fehlalarmen führen, wenn einige nachlässige Unternehmensbenutzer den Absendernamen als ihren E-Mail-Namen festlegen. Ich hoffe, das hilft
*Ein anderer Fehler ist das Vortäuschen des Domänennamens als Anzeigename. Sie können den folgenden Code verwenden, um dies zu korrigieren
/^From: (.*)\.(.*) <(.*@.*)>$/ REPLACE From: $3 <$3>
/^Reply-To: (.*)\.(.*) <(.*@.*)>$/ REPLACE Reply-To: $3 <$3>