primeiro passo para combater a falsificação de nome de exibição no postfix

ultimamente, recebemos muitos e-mails falsificados com nomes de exibição em nossa empresa, fazendo-se passar por clientes e fornecedores. Como infelizmente meus colegas de trabalho não prestam muita atenção aos avisos de segurança, etc., não pude confiar que eles estivessem cientes da ameaça. Pesquisei no Google por horas e não encontrei uma solução satisfatória para isso. Pelo menos não simples, que não envolvesse ferramentas pagas de terceiros, etc.

Então, me deparei com uma solução elegante e simples, que é adicionar o seguinte às linhas do arquivo header_checks:

/^From: (.*@.*) (.*@.*)$/ REPLACE From: "PHISHING!!!" $2
/^Reply-To: (.*@.*) (.*@.*)$/ REPLACE Reply-To: "PHISHING!!!" $2

O que essas 2 linhas fazem é basicamente verificar se no cabeçalho From há 2 endereços de e-mail presentes. Nesse caso, assumimos que o primeiro é o falsificado. Em seguida, ele simplesmente reescreve o cabeçalho from, substituindo o remetente falsificado por PHISHING e mantendo o endereço do remetente real.

Depois seria apenas mapear o arquivo header_checks modificado para o Postfix:

postmap -r header_checks

Recarregue a configuração:

postfix reload

e execute um teste se o header_check for aplicado corretamente:

postmap -q "From: Fake Sender <[email protected]> <[email protected]>" regexp:/etc/postfix/header_checks

este comando deve retornar algo como:

REPLACE From: "PHISHING!!!" <[email protected]>

se houver um acerto positivo. Se for negativo, não haverá saída.

Espero que isso ajude alguém que esteja com o mesmo problema.

Cumprimentos