Client IP im Transportheader unterdrücken wenn SASL authentisiert
Ist es in Postfix möglich, die Client IP im Header zu unterdrücken, wenn der Client sich mit SASL authentisiert hat. Beispiel für einen Header: Return-path: xxx@mydomain.de Received: from my...@mydomain.de ([IP meines MTA]) by re...@mydomain.de with ESMTP; Mon, 03 Aug 2015 16:27:10 +0200 Received: from my...@mydomain.de (localhost [127.0.0.1]) by localhost (Postfix) with SMTP id 05EA864F2 for xxx@mydomain.de; Mon, 3 Aug 2015 16:27:10 +0200 (CEST) Received: from pc...@jwd.de (pc...@jwd.de [IP von pc...@jwd.de]) (using TLSv1 with cipher AES128-SHA (128/128 bits)) Die letzte Received: Zeile von pc...@jwd.de soll unterdrückt werden. Hintergrund ist folgender: Wir haben auf unseren MTAs Sophos PureMessage im Einsatz. Bei unserer Spampolicy prüfen wir eingehende Mails von authentisierten Clients nur auf Viren. Wenn nun aber die Mail im TO oder CC an Empfänger außerhalb geht und die IP-Adresse des Clients ist blackgelistet, dann würde u.U. die Mail beim Empfänger als Spam eingestuft. Wir wollen aber, daß die Mail so aussieht, als käme sie von unserer Domain. Ist soetwas einfach möglich? Ich persönlich halte den Eintrag mit der Client IP für sinnvoll bei evtl. Fehleranalysen, aber von oberster Stelle ist es so gewünscht.
Re: Client IP im Transportheader unterdrücken wenn SASL authentisiert
On Mo, 03 Aug 2015 at 17:31:17 +0200, Peter Heitzer wrote: Ist es in Postfix möglich, die Client IP im Header zu unterdrücken, wenn der Client sich mit SASL authentisiert hat. ich hab da was mit regexxen gemacht, weiss aber weder ob das skaliert noch ob es 100% immer trifft - und schön finde ich es nicht: header_checks = pcre:/etc/postfix/header_checks und in in header_checks dann /^Received:\ (from\ )(.*)(\(.*\))(.*)\(Authenticated sender: .*\)(.*by\ .*\.DOMAIN\.TLD\ .*)$/U REPLACE Received: from mail.DOMAIN.TLD (Remote address hidden)$4(Authenticated sender: yes)$5 DOMAIN und TLD sind anzupassen, das versteckt dann auch noch ein bischen mehr, ob das gut ist oder nicht, keine Ahung - ich wollte vermeiden, dass Emfpänger die (externe) IP sehen, weil einige Leute auf ihren IPs zu Hause durchaus Dienste anbieten und ich das für ein privacy feature halte. Fürs Debuggign erfährt ein Empfänger trotzdem, dass ich in meinen Logs wohl den user kenne und ermitteln kann und welches mailsystem das war - SASL mache ich nur auf einem Hostnamen, und der lautet mail.DOMAIN.TLD /Florian
Re: DKIM Erlebnisse
Am 02.08.2015 um 17:22 schrieb Joachim Fahrner: Ich weiss auch nicht was die sich da zurechtgebastelt haben. Problem in solchen Fällen: man weiss gar nicht wen man da anschreiben soll. Die Sachbearbeiter in der Bestellabteilung sind doch mit sowas völlig überfordert. Es ist unglaublich wieviel Hobby-IT auf kommerziellen Webseiten unterwegs ist. Für solche Fälle gibt es die postmaster@... - Adresse, die in irgendeiner RFC vorgeschrieben ist, soweit ich weiss. Ist zwar in diesem Fall eher ein Fehler vom webmaster, aber der postmaster müsste in der Lage sein sich mit dem Webmaster kurzzuschließen. Anderenfalls gibts bei der Webseite natürlich ein Impressum mit Mail-Addy und Fax-Nr. Wenn man sich dahin wendet mit Bitte zur Weiterleitung an den Webmaster / Betreuer der Webseite, sollte das auch klappen. Gruß, Markus