<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.im
        {mso-style-name:im;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-CA" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">I am trying to get one that does the
</span>envelope-from header so at the MTA side of things.  I am hoping someone has done this with sendmail as changing the MTA is not possible at the moment.  The rule set from Thom van der Boon works great on the From header.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> MailScanner [mailto:mailscanner-bounces+pparsons=techeez.com@lists.mailscanner.info]
<b>On Behalf Of </b>Dave Jones<br>
<b>Sent:</b> December 27, 2016 2:21 PM<br>
<b>To:</b> MailScanner Discussion <mailscanner@lists.mailscanner.info><br>
<b>Subject:</b> Re: How to reject/detect emails claiming to be from my own domain?<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">Which From address are you trying to protect from spoofing?  Emails have an envelope-from and a From: header.  The From: header is what is visible in most mail clients.  From my experience (someone please correct me if I am wrong), the
 "header From" rule does not examine the envelope-from.  This needs to be done at the MTA level before SA.<o:p></o:p></p>
<div>
<p class="MsoNormal">There was a recent thread on the SA mailing list about how tough it is to protect the visibile From: header from spoofing.  Spammers are getting very sophisticated with their spear phishing by using a visible display name of the CEO with
 an incorrect email address.  People still fall for it without looking closely at the From email address.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">More importantly is to setup proper RBLs at the MTA level that block these low reputation sending IPs that tend to be the source of these spoofs.  I use Postfix postscreen with about two dozen RBLs and DBLs weighted based on their reliability
 which works very well.  It takes some time to setup and adjust but it has been worth it.  I used to have to spend hours each day on tweaking SA rules always behind the latest spam campaigns from botnets all over the world.  I did have to setup whitelisting
 with postwhite to whitelist the major mail providers based on their SPF record since some of them allow their outbound mail server IPs to become listed on RBLs.  Now my MailScanner blocks more than 90% of the junk at the MTA level including spoofed email of
 all kinds.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Now I only have to deal with the occasional sender that gets listed on RBLs from it's own compromised accounts.  At least the Postfix bounce message is very clear as to why it was rejected and usually the sending mail admins can figure
 out what the problem is before contacting our support.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I still have to tweak SA rules and scores based on new spam campaigns but it's only a few hours a week now instead of a few hours a day.  We filter for about 30,000 mailboxes and do outbound relaying for millions of emails each week.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">MTA level checks:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">- RBLs<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">- DBLs<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">- DNS PTR exists (not if it is correct/matches which is done in SA)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">- SPF (header added for SA)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">- number of recipients (header added since BCC can't be seen in SA)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">- rate limiting<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">- greylisting<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Dave<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Tue, Dec 27, 2016 at 9:17 AM, Philip Parsons <<a href="mailto:pparsons@techeez.com" target="_blank">pparsons@techeez.com</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0cm;margin-bottom:5.0pt">
<p class="MsoNormal">Can you explain number 1 more ? <o:p></o:p></p>
<div>
<div>
<p class="MsoNormal"><br>
<br>
On Sat, 2016-12-24 at 09:29 +0200, Valentin Laskov wrote:<br>
> В 20:00 +0000 на 23.12.2016 (пт), Philip Parsons написа:<br>
> ><br>
> > I use Mailscanner and Send mail.<br>
> Hi all,<br>
><br>
> I would suggest one of (or both)<br>
> 1. setting and relay only after authentication in sendmail<br>
> 2. these letters usually contain files that MailScanner denies.<br>
> MailScanner then sends reports to sender/recipient/postmaster about<br>
> quarantined attachment file. I changed in filename.rules.conf and in<br>
> archive.filename.rules.conf not to deny these files but to forward to<br>
> other email address like <a href="mailto:me@example.com">me@example.com</a> . You must clean this box<br>
> regularly :)<br>
><br>
> Regards and Happy Holidays<br>
><br>
> Valentin<br>
><br>
><br>
> -- <br>
> MailScanner mailing list<br>
> <a href="mailto:mailscanner@lists.mailscanner.info">mailscanner@lists.mailscanner.info</a><br>
> <a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">
http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>
><br>
><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span class="im">--</span><br>
<br>
<span class="im">Thank You</span><br>
<span class="im">Philip Parsons</span><br>
<span class="im">Techeez on the go</span><br>
<span class="im">please excuse the spelling.</span><br>
<br>
<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt">--<br>
MailScanner mailing list<br>
<a href="mailto:mailscanner@lists.mailscanner.info">mailscanner@lists.mailscanner.info</a><br>
<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><o:p></o:p></p>
</div>
</div>
</blockquote>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal"><br>
-- <br>
This message has been scanned for viruses and <br>
dangerous content by <a href="http://www.mailscanner.info/"><b>MailScanner</b></a>, and is
<br>
believed to be clean. <o:p></o:p></p>
</div>
</body>
</html>