Últimamente recibimos muchos correos electrónicos con nombres falsos en nuestra empresa, haciéndose pasar por clientes y proveedores. Como desafortunadamente mis compañeros de trabajo no prestan demasiada atención a las advertencias de seguridad, etc., no podía confiar en que estuvieran al tanto de la amenaza. Busqué en Google durante horas y no encontré una solución satisfactoria para esto. Al menos no uno simple, que no involucrara herramientas pagas de terceros, etc.
Entonces, me topé con una solución elegante y simple, que consiste en agregar lo siguiente a las líneas del archivo header_checks:
/^From: (.*@.*) (.*@.*)$/ REPLACE From: "PHISHING!!!" $2
/^Reply-To: (.*@.*) (.*@.*)$/ REPLACE Reply-To: "PHISHING!!!" $2
Lo que hacen estas 2 líneas es básicamente verificar si en el encabezado De hay 2 direcciones de correo electrónico presentes. Si es así, asumimos que el primero es el falsificado. Luego simplemente reescribe el encabezado de, reemplazando el remitente falsificado por PHISHING y manteniendo la dirección real del remitente.
Luego, uno simplemente asignaría el archivo header_checks modificado a Postfix:
postmap -r header_checks
Vuelva a cargar la configuración:
postfix reload
y ejecute una prueba si header_check se aplica correctamente:
postmap -q "From: Fake Sender <[email protected]> <[email protected]>" regexp:/etc/postfix/header_checks
este comando debería devolver algo como:
REPLACE From: "PHISHING!!!" <[email protected]>
si hay un golpe positivo. Si es negativo, no habrá salida.
Espero que esto ayude a alguien que tenga el mismo problema.
Saludos
Respuesta1
Estaba teniendo este problema en el servidor de correo de nuestra empresa, ya que validamos nuestro propio dominio de correo electrónico, solo los usuarios que inician sesión pueden enviar desde, por lo tanto, modifiqué un poco su sintaxis.
/^From: (.*@.*) <(.*@.*)>$/ REPLACE From: "[POSSIBLE PHISHING] $2" <$2>
/^Reply-To: (.*@.*) <(.*@.*)>$/ REPLACE Reply-To: "[POSSIBLE PHISHING] $2" <$2>
De esta forma, el destinatario del correo electrónico puede saber quién es el remitente. Su código podría causar un falso positivo si algunos usuarios perezosos de la empresa configuran el nombre de remitente como su nombre de correo electrónico. Espero que esto ayude
*Otro es falsificar el nombre de dominio como nombre para mostrar, puede usar el siguiente código para corregirlo
/^From: (.*)\.(.*) <(.*@.*)>$/ REPLACE From: $3 <$3>
/^Reply-To: (.*)\.(.*) <(.*@.*)>$/ REPLACE Reply-To: $3 <$3>