SPF-Spoofing wird nicht abgefangen [GELÖST]

[xeppel]

Hi,

Mir ist aufgefallen dass ich Spoofing Mails von angeblich meiner eigenen Domain an meine eigene Domain erhalte. Wenn ich das bei https://emkei.cz nachstelle kann ich das reproduzieren. Ich kann auch von einer ganz anderen Domain an meine eigene verschicken, geht bei Rspamd durch. SPF fail wird zwar erkannt aber nur ein Punkt abgezogen. Im spf record meiner Domain habe ich "-all" hinterlegt.

Jetzt die Frage, ist das bei euch auch ? Was sollte ich einstellen dass sowas zuverlässig geblockt wird ? Rspamd müsste doch erkennen dass der envelope falsch ist. Einfach den spf fail wert höher setzen ? Wobei meine Domain auch auf der Whitelist ist und das daher dann gar nichts bringen wird...

[Florian]

Hallo,

hast du denn die Einstellung "Zurückweisen von E-Mails, die SPF-Prüfungen nicht bestehen" aktiviert ?

[xeppel]

Ja ist bereits gesetzt.

[Florian]

Hallo,

ich hab das mal von Deiner genannten Seite probiert.

SPF Schutz greift problemlos:

Code: Select all

milter-reject: END-OF-MESSAGE from emkei.cz[114.29.236.247]: 5.7.1 SPF validation failed: Your email was rejected because you are not authorized to send messages on behalf of this domain. Please contact the administrator of the domain or your email provider for further assistance.

test.png (11.82 KiB) Viewed 179 times

[xeppel]

Also bei mir kommt die Mail wie gesagt normal an...

[Alexander]

Dann bitte einmal den Screenshot der Rspamd History posten, bei der besagte Email durch Rspamd bewertet wurde (mit ausgeklappten Bewertungskriterien).

Zusätzlich noch den Inhalt der Datei: /etc/rspamd/local.d/force_actions.conf

[xeppel]

hier.

Code: Select all

# Created by KeyHelp.
#
# DO NOT CHANGE ANYTHING IN THIS FILE,
# CHANGES WILL BE LOST ON NEXT UPDATE!

rules {

    VIRUS {
        action = "rewrite subject";
        expression = "CLAM_VIRUS";
        subject = "***VIRUS*** %s";
        # No need to honor "add header", as headers are always added due to milter_headers.conf
        honor_action = ["reject", "soft reject"];

    }
    VIRUS_FAIL {
        action = "rewrite subject";
        expression = "CLAM_VIRUS_FAIL";
        subject = "***UNCHECKED*** %s";
        # No need to honor "add header", as headers are always added due to milter_headers.conf
        honor_action = ["reject", "soft reject"];
    }

    REJECT_SPF_FAIL {
        action = "reject";
        expression = "R_SPF_FAIL";
        message = "SPF validation failed: Your email was rejected because you are not authorized to send messages on behalf of this domain. Please contact the administrator of the domain or your email provider for further assistance.";
    }

}

[Tobi7889]

Da steht doch der Grund, der Sender ist auf deiner Whitelist ...

[xeppel]

Ja das ist ja das ding, das bedeutet ja wenn jemand auf der Whitelist steht kann die Domain ruhig gespooft werden, spf fail greift da dann nicht, aber das ist doch dumm...

[Jolinar]

Rein aus Neugier:
Warum packst du deine eigene Domain auf die Whitelist?
Da kommen doch normalerweise nur vertrauenswürdige externe Domains (und maximal noch eigene Subdomains für Mailgateway o.ä.) drauf...

[xeppel]

Weil ich u. A. Automatisiert per SMTP Mails mit logs Und Links schicken lasse und die wegen gefährlichen Links schon mal als Spam markiert wurden.

Aber was ändert es wenn ich eine vertrauenswürdige Domain hinzufüge. Dann kann ja trotzdem jeder Spoofing mit dieser Domain betreiben und mir Mails schicken die dann einfach durchgehen.

[Alexander]

Der Grund sind die derzeitigen Einstellungen unter /etc/rspamd/local.d/multimap.conf

Dort steht bei whitelist:

Code: Select all

    prefilter = true;
    action = "accept"; 

Damit wird force_actions nicht mehr ausgeführt. Wenn man diese auskommentiert und Rspamd neustartet sollte das von dir gewünschte Verhalten eintreten.

Das Ganze ist aber nicht Update-sicher und die Datei wird wieder überschrieben, sofern man entsprechende Änderungen über die UI triggert.
Hier könnte man sich z.B. mit dem override.d Verzeichnis behelfen.

Ggf. könnte man einen Vote machen, ob man generell das derzeitige Verhalten (immer ACCEPT von Whitelist-Adressen) oder bei Whitelist-Adressen wird nur ein Punktewert abgezogen und force_actions könnte noch greifen, wünscht. Tendiere eher zu letzterem mit hohem negativen Whitelist-Punktewert. [EDIT] Hab mich schon für letzteres entschieden

[xeppel]

Wenn mein letzter Post kein Denkfehler war macht letzteres wirklich Sinn. So, dass spoofing trotz whitelist zumindest als Spam behandelt wird.

[Alexander]

Hab die Änderung entsprechend umgesetzt, so der SPF Reject noch greifen kann.

Eine SPF-White-Liste kommt mit dem nächsten Update auch, damit hat man so auch noch mehr Spielraum, sollte es im Einzelfall benötigt werden.