OT:podvržené maily
Petr Simek
psimek na jcu.cz
Čtvrtek Květen 31 12:35:03 CEST 2012
On Thu, 31 May 2012, Miroslav Draxal wrote:
> Mějme doménu domena.cz na ní běží 2003 smile byznys server s firewallem
> kerio kontrol. Na serveru je mailový server, který je součástí řešení SBS. A
> teď:
> Někdo si zahraje (je to útok, neboť kdysi se někdo nabízel, že tomu umí
> zabránit, nebyl vyslyšen, tak dává zatopit) , zasílá maily se změněnou FROM
> v hlavičce mailu, kde se podepisuje jako ředitel firmy, a rozesílá to všem
> zaměstnancům. Čili řediteli příjde mail reditel na domena.cz který v životě
> nenapsal a je od něj. Jednoduché, ale jak se tomu bránit?
Mohlo by pomoci SPF jestli to ten mailovy server umi, ale zase muze
zpusobit jine problemy - s forwardem zprav ven a pokud mate uzivatele
venku kteri odesilaji s From: firma tak budou muset jedine pres Vas
server.
SPF je vhodne jako informace pro ostatni jestli ta posta skutecne
pochazi od Vas, pro vlastni prijem to chce spis filtry na IP odesilatele
eventuelne na From .
> Má úvaha je taková, že pokud přijde na port 25 jakýkoli mail z venkovního
> netu, který má ve své hlavičce FROM kohokoli ze zaměstnanců firmy, je to
> podvrh. Vše co běhá na vnitřním subnetu je OK. Jenže, existuje něco, kde se
> to dá nastavit? Včera jsem projížděl celé kerio kontrol, tam jsem takovou
> možnost nenašel, a v SBS mailový server, tam jsem také nic neobjevil. Byl
> bych rád, kdybych něco přehlédl. Díky za nápady Míra.
Postfix by to mohl zvladnout :-) Nemuzete proste jen zariznout IP
adresy ktere k tomu pouziva ? Predpokladam ze velke mailery jako
seznam ci google mu to nedovoli... Taky by mozna nebylo na skodu
trestni oznameni. Ono to sice chvili trva, ale pokud ho PCR odhali
tak z toho zas tak lehce nevyklouzne....
S pozdravem
*------------------------------------------------------------------------*
| Petr Simek APS JU |
| psimek na jcu.cz |
*------------------------------------------------------------------------*
Další informace o konferenci Hw-list