postfix: IP-Adresse des Absenders verbergen

[Matlock]

Hallo,
Da ich Cloudflare wegen DDOS benutze, würde ich gerne die Ip im Email_Header entfernen.
Debian 10 mit Keyhelp nutze ich, mein aktueller Header sieht so aus:

Code: Select all

Delivered-To: parse@gmail.com
Received: by 2002:a17:907:1690:0:0:0:0 with SMTP id hc16csp267755ejc;
        Mon, 7 Dec 2020 08:28:14 -0800 (PST)
X-Google-Smtp-Source: ABdhPJyuz7zML6kMym2ulkr5zr1YWzZLfjbZf7SfknWsk96uXBMXmksXMSC9mbpG2nUWYxs9Bnju
X-Received: by 2002:adf:9cc6:: with SMTP id h6mr20552150wre.341.1607358494271;
        Mon, 07 Dec 2020 08:28:14 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1607358494; cv=none;
        d=google.com; s=arc-20160816;
        b=bgSlE7QwkU2H/ylGd2R4tmMhdZgT5oj9mAIndZByDEUyOvEiBTSs/vUn8yHTmGCGGB
         /MG3WmdrsWukLl7fuCVn/qJkYAvvlc7CPPxJ5qm669ZqFO5KEEEctRoEOZsyEXBOdIcx
         NuRGCKk4VU1zND2CkXznQzYgNCXiyz8Gh4ghqW0kfXDJ54ky6Q/mIcHUbl/vv5b4en7g
         IohazOD+rLxD4zo3aw3M8XbUb07ga0YlAcjmQDuiYDEnaTbd0lZPn+ZexF8Yi5BSUKHT
         nvF4fzUwUu8Tx/cJXFlu7x6PKD6z1qoBMcxOWZxjm230SUsO+EXimqF/XQOdlI+O+z5G
         6lCA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:message-id:user-agent:subject:to:from
         :date:mime-version:dkim-signature;
        bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=;
        b=NyRCEe9AwTjH9Dm0YXtDx/mTNfwrMObuhW927Y4AUareEwq8/QcoLs9tAUrSWwCxok
         sbgdN4m3PZWCHHKOhM4F+Tt5h3s3dHaU1ocoQTQl8HggMpIMUisC6Ys0U+PiQ9FvoyYq
         lP22H7o8lP5B6hLoP4kUw94zgBEQQugKteUTKMOeZnnm2Tad8kcBOXQGPce91o9ygh+Z
         gNyfGKu1eHu2wlb22lUpTo7J0K4+1G8WxT5ILcheIgYqzWmkJe0pu83j6KxtPX3Qde/l
         xi4KhcCqiAs7X15ovk4luuIsVUCsDOFVig6HleT8d2IfuZ1S/KzLtVjBboLjdBk5ygyN
         vIYg==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=temperror (no key for signature) header.i=@mail.net header.s=default header.b=MmAqLwqs;
       spf=temperror (google.com: error in processing during lookup of duke@mail.net: DNS error) smtp.mailfrom=duke@mail.net
Return-Path: <duke@mail.net>
Received: from atomfog.net ([87.118.98.51])
        by mx.google.com with ESMTPS id y5si1559274wrq.377.2020.12.07.08.28.13
        for <parse@gmail.com>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Mon, 07 Dec 2020 08:28:14 -0800 (PST)
Received-SPF: temperror (google.com: error in processing during lookup of duke@mail.net: DNS error) client-ip=87.118.98.51;
Authentication-Results: mx.google.com;
       dkim=temperror (no key for signature) header.i=@mail.net header.s=default header.b=MmAqLwqs;
       spf=temperror (google.com: error in processing during lookup of duke@mail.net: DNS error) smtp.mailfrom=duke@mail.net
Received: from localhost (localhost.localnet [127.0.0.1]) by atomfog.net (Postfix) with ESMTP id 5B01486C for <parse@gmail.com>; Mon,
  7 Dec 2020 16:28:13 +0000 (UTC)
Received: from atomfog.net ([127.0.0.1]) by localhost (atomfog.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id EJ-bs5T4y34V for <parse@gmail.com>; Mon,
  7 Dec 2020 16:28:10 +0000 (UTC)
Received: from atomfog.net (localhost.localnet [127.0.0.1]) by atomfog.net (Postfix) with ESMTPSA id 59F3B762 for <parse@gmail.com>; Mon,
  7 Dec 2020 16:28:07 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.net; s=default; t=1607358487; bh=79lLnODjX2qcPyVXqGrSwz9xRc00h6Xs/HXxJYix6ec=; h=Date:From:To:Subject:From; b=MmAqLwqsnJw0aZ6wZEs4dgXcDG5NNZgGj2/nBS5bfgIz1lsw9fVpf+XBXkDF+3kb1
	 /w4z32S+eE6KtcBc9Uee7n6i1Jij1usVfm1rr2Px9cBc1Wah6KgQHFzJHLioJ1xz7b
	 OgAs4lZezivvN/fqL8llPiyPqP/NVdVZxCp5+wleRolTxdusRiKfIMk0UL6cDeH5r1
	 5RnjCQ6IcjmaCvvflzejt2g3Afj65EWX0ncuqC/Elyk5XZHO2nRqDe/3ljeCAwRJ90
	 EeQE2XnzOtC5eVROq79KdKNGG5IDIHE4EKrC/iQfViTVly89qXY7XfWK6ce2r8I3AK
	 pLU4MgYwxRvPQ==
MIME-Version: 1.0
Date: Mon, 07 Dec 2020 17:28:07 +0100
From: duke@mail.net
To: parse@gmail.com
Subject: ddos
User-Agent: Roundcube Webmail/1.4.9
Message-ID: <dd258d97796a0263a988334fc7211a19@mail.net>
X-Sender: duke@mail.net
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<html><head><meta http-equiv=3D"Content-Type" content=3D"text/html; charset=
=3DUTF-8" /></head><body style=3D'font-size: 10pt; font-family: Verdana,Gen=
eva,sans-serif'>
<p><br /></p>

</body></html>

Am besten wäre es wenn nur die atomfog .tld da stehen würde ohne original IP, sonst mach ja Cloudflare kein Sinn.

Wäre schön wenn einer helfen könnte.

Mfg

[andromeda]

Hallo,

Die IP wird sich nicht entfernen lassen, eine eigene IP kann ggf. für die ausgehenden E-Mails zugewiesen werden und diese dann für Eingänge nullrouten oder du suchst einen externen Provider für den Mailversand welcher DDoS Schutz anbietet.

LG

[Matlock]

Also es geht schon oder es ging: https://www.andrehotzler.de/de/blog/tec ... -ipv6.html

Das Tutorial ist nur schon was älter und meine /etc/postfix/header_checks sieht anders aus und in meiner main.cf ist auch kein Einrag smtpd_sasl_authenticated_header = yes (oder muss ich den einfach nachtragen? )

[andromeda]

Also es geht schon oder es ging: https://www.andrehotzler.de/de/blog/tec ... -ipv6.html

Das Tutorial ist nur schon was älter und meine /etc/postfix/header_checks sieht anders aus und in meiner main.cf ist auch kein Einrag smtpd_sasl_authenticated_header = yes (oder muss ich den einfach nachtragen? )

Der Empfänger wird aber trotzdem (wenn er clever genug ist) deine echte IP (jene des sendenden Servers) sehen, auch wenn Sie jetzt nicht im header enthalten ist...

[Matlock]

Das ist mir klar, ich weiss selber wie es dennoch geht, aber wenn nur die Domain ohne IP da stehen würde, würde es schon weiter helfen.
Aktuell steh da die original IP weils nur ein Testserver ist.

[Matlock]

Hmm irgendwas mach ich falsch.
main.cf

Code: Select all

smtpd_sasl_authenticated_header = yes
# Header checks
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks =  regexp:/etc/postfix/header_checks

header_checks

Code: Select all

/^Received:\ from (.*)\(.*\)(.*)\(Authenticated\ sender:\ .*\)(.*by mail\.atomfog\.net.*)$/U  REPLACE Received: from $1 (Remote IP hidden) $2(Sender was authenticated on atomfog.net) $3

Aber keine Änderung, Header in der Mail ist unverändert.

[Tobi]

Dieser Regex-Check

Code: Select all

/^Received:\ from (.*)\(.*\)(.*)\(Authenticated\ sender:\ .*\)(.*by mail\.atomfog\.net.*)$/U 

passt auch gar nicht zu dem Header aus deinem Startposting.

Dort kommt beispielsweise das Wort "Authenticated" gar nicht vor. Dann kann auch dein Regex nicht greifen.


============================================

Nachtrag:
Ich würde "ganz klein" anfangen und im ersten Schritt nur die IP Adresse austauschen.
Wenn das klappt ist das Ziel erreicht und der Rest ggf. nur noch Kosmetik.

[Matlock]

Code: Select all

/.*report-type=.?delivery-status.*/
    DISCARD Bounce to probably forged sender
/^X-Failed-Recipients:/
    DISCARD Bounce to probably forged sender
/^Subject:.*(failure.notice|(failure|mail).delivery|Delivery.(Status.Notification|failure)|(Undeliverable|undelivered|invalid)(:|.Mail|.message))/
    DISCARD Looks like a bounce ($1), sender probably forged

Das ist die originale header_checks von Keyehlp, damit kann ich leider nichts anfangen.

[Matlock]

Gelöst mit einem externen Server.