<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Courier New";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Courier New";color:#1F497D'>Implement SPF records in your DNS.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Courier New";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:10.0pt;color:#1F497D'>&nbsp;...Kevin<br>--<br>Kevin Miller<br>Network/email Administrator, CBJ MIS Dept.<br>155 South Seward Street<br>Juneau, Alaska 99801<br>Phone: (907) 586-0242, Fax: (907) 586-4500<br>Registered Linux User No: 307357</span><span style='color:#1F497D'> </span><span style='font-size:11.0pt;font-family:"Courier New";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> mailscanner-bounces@lists.mailscanner.info [mailto:mailscanner-bounces@lists.mailscanner.info] <b>On Behalf Of </b>Thiago Bemerguy<br><b>Sent:</b> Thursday, July 25, 2013 6:50 AM<br><b>To:</b> mailscanner@lists.mailscanner.info<br><b>Subject:</b> Reject messages from outside my domain with FROM HEADER from inside (forgery)<o:p></o:p></span></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><div><p class=MsoNormal>Hello,<o:p></o:p></p><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>I have an Exchange 2010 server with MailScanner for filtering external messages. The users are receiving phishing messages from outside my network with FROM header forged with email addresses from my domain. Is there any way to avoid that messages from outside come with certain email addresses, like filtering email and ip address or MTA hostname?<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Following the header of the phishing message<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><div><p class=MsoNormal>Received: from ???.com (????) by ???<o:p></o:p></p></div><div><p class=MsoNormal>&nbsp;(????) with ????<o:p></o:p></p></div><div><p class=MsoNormal>Received-SPF: none (<a href="http://beetobee.it">beetobee.it</a>: No applicable sender policy available) receiver=????.com; identity=mailfrom; envelope-from=&quot;<a href="mailto:www-data@beetobee.it">www-data@beetobee.it</a>&quot;; helo=<a href="http://mail.beetobee.it">mail.beetobee.it</a>; client-ip=???<o:p></o:p></p></div><div><p class=MsoNormal>X-Greylist: delayed 1335 seconds by postgrey-1.32 at ????;&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal>Received: from <a href="http://mail.beetobee.it">mail.beetobee.it</a> (<a href="http://mail.blucamera.it">mail.blucamera.it</a> [82.85.28.154])&nbsp; by<o:p></o:p></p></div><div><p class=MsoNormal>???.com (Postfix) with ESMTP id BE94320722&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; for<o:p></o:p></p></div><div><p class=MsoNormal>&nbsp;&lt;<a href="mailto:address1@internal.com">address1@internal.com</a>&gt;;&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal>Received: by <a href="http://mail.beetobee.it">mail.beetobee.it</a> (Postfix, from userid 33)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; id 6D9D2291ADE;&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal>To: &lt;<a href="mailto:address1@internal.com">address1@internal.com</a>&gt;<o:p></o:p></p></div><div><p class=MsoNormal>Subject: .....<o:p></o:p></p></div><div><p class=MsoNormal>MIME-Version: 1.0<o:p></o:p></p></div><div><p class=MsoNormal>Content-Type: text/html; charset=&quot;iso-8859-1&quot;<o:p></o:p></p></div><div><p class=MsoNormal>X-Mailer: Microsoft Office Outlook, Build 17.551210<o:p></o:p></p></div><div><p class=MsoNormal><b><span style='background:red'>From: &lt;<a href="mailto:address1@internal.com">address1@internal.com</a>&gt; (forged)</span></b><o:p></o:p></p></div><div><p class=MsoNormal>Message-ID: &lt;????@<a href="http://mail.beetobee.it">mail.beetobee.it</a>&gt;<o:p></o:p></p></div><div><p class=MsoNormal>Date:&nbsp;<o:p></o:p></p></div><div><p class=MsoNormal>X-TCE-MailScanner-ID: BE94320722.89A9A<o:p></o:p></p></div><div><p class=MsoNormal>X-TCE-MailScanner: Found to be clean<o:p></o:p></p></div><div><p class=MsoNormal>X-TCE-MailScanner-SpamScore: sss<o:p></o:p></p></div><div><p class=MsoNormal>X-TCE-MailScanner-From: <a href="mailto:www-data@beetobee.it">www-data@beetobee.it</a><o:p></o:p></p></div><div><p class=MsoNormal>X-Spam-Status: No<o:p></o:p></p></div><div><p class=MsoNormal>Return-Path: <a href="mailto:www-data@beetobee.it">www-data@beetobee.it</a><o:p></o:p></p></div><div><p class=MsoNormal>X-MS-Exchange-Organization-AuthSource: <a href="http://Maia.tce.pa">Maia.tce.pa</a><o:p></o:p></p></div><div><p class=MsoNormal>X-MS-Exchange-Organization-AuthAs: Anonymous<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>We have SPF configured but I think it only protects envelope sender address.<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><div><p class=MsoNormal>Thanks in advance,<o:p></o:p></p></div><div><p class=MsoNormal><o:p>&nbsp;</o:p></p></div><p class=MsoNormal>-- <br>Thiago Bemerguy<br><a href="mailto:thiagobemerguy@gmail.com" target="_blank">thiagobemerguy@gmail.com</a> <o:p></o:p></p></div></div></div></body></html>