В последнее время мы получаем много писем с поддельными отображаемыми именами в нашей компании, выдавая себя за клиентов и поставщиков. Поскольку мои коллеги, к сожалению, не уделяют слишком много внимания предупреждениям безопасности и т. д., я не мог полагаться на то, что они знают об угрозе. Я искал в Google часами, но не нашел удовлетворительного решения этой проблемы. По крайней мере, не простого, которое не включало бы платные сторонние инструменты и т. д.
Итак, я наткнулся на элегантное и простое решение, которое заключается в добавлении следующих строк в файл header_checks:
/^From: (.*@.*) (.*@.*)$/ REPLACE From: "PHISHING!!!" $2
/^Reply-To: (.*@.*) (.*@.*)$/ REPLACE Reply-To: "PHISHING!!!" $2
Эти 2 строки в основном проверяют, присутствуют ли в заголовке From 2 адреса электронной почты. Если да, то мы предполагаем, что первый из них является поддельным. Затем он просто переписывает заголовок From, заменяя поддельного отправителя на PHISHING и сохраняя реальный адрес отправителя.
После этого можно просто сопоставить измененный файл header_checks с Postfix:
postmap -r header_checks
Перезагрузите конфигурацию:
postfix reload
и запустите тест, правильно ли применен header_check:
postmap -q "From: Fake Sender <[email protected]> <[email protected]>" regexp:/etc/postfix/header_checks
эта команда должна вернуть что-то вроде:
REPLACE From: "PHISHING!!!" <[email protected]>
если есть положительное попадание. Если отрицательное, то выхода не будет.
Надеюсь, это поможет кому-то, столкнувшемуся с такой же проблемой.
С уважением
решение1
У меня возникла эта проблема на почтовом сервере нашей компании, поскольку мы проверяем наш собственный домен электронной почты, отправлять сообщения с адреса могут только зарегистрированные пользователи, поэтому я немного изменил ваш синтаксис.
/^From: (.*@.*) <(.*@.*)>$/ REPLACE From: "[POSSIBLE PHISHING] $2" <$2>
/^Reply-To: (.*@.*) <(.*@.*)>$/ REPLACE Reply-To: "[POSSIBLE PHISHING] $2" <$2>
таким образом, получатель электронной почты может узнать, кто является отправителем. Ваш код может вызвать ложное срабатывание, если некоторые ленивые пользователи компании установят имя отправителя в качестве своего имени электронной почты. Надеюсь, это поможет
*Еще одна ошибка — подмена доменного имени как отображаемого имени. Для исправления можно использовать следующий код.
/^From: (.*)\.(.*) <(.*@.*)>$/ REPLACE From: $3 <$3>
/^Reply-To: (.*)\.(.*) <(.*@.*)>$/ REPLACE Reply-To: $3 <$3>