Absender zuverlässig feststellen

[eknori]

Ein Bekannter hat mich gerade angerufen. Er möchte da in einem Projekt etwas umsetzen und fragt nun, wie er da anstellen soll.

Vorweg; fragt bitte nicht danach, ob das Sinn macht, oder warum und wieso das nicht gaaanz anders zu machen ist. Es gibt dort gewisse Randbedingungen. Daher ist der Ansatz zum jetzigen Zeitpunkt richtig.

Es geht um folgendes:

Die User sollen Faxe verschicken können. Dazu schreiben sie eine Mail und schicken diese an einen freenet account.
Ein Domino Server pullt nun den POP3 Account und sorgt dafür, daß die Mail in ein Fax umgewandelt wird und zugestellt wird.

Rein theoretisch könnte nun jeder Faxe darüber versenden; auch Nicht-MA dieses Unternehmens.

Wie kann ich zuverlässig feststellen, daß es sich um eine Mail aus dem Kreis der Berechtigten handelt ??

SMTPOriginator oder From kann man ja spoofen

Ulrich

[alkuhn]

Bitte lache mich nicht aus, wenn es Käse ist, was ich Dir schreibe. Bin kein Profi :-)

Aber ist es nicht möglich, dass Received Feld auszuwerten? Wenn darin nicht der MailServer von der Firma Deines Freundes steht, dann ist die E-Mail nicht aus seiner Firma gesendet worden.

Mein Idee ist, die "Hops" der Message auszuwerten und dadurch einen Hinweis auf den Absender zu bekommen. Denkst Du, das ist möglich?

[Semeaphoros]

Ich glaube, Ulrich ist klar, dass es da keine wirkliche Sicherheit gibt, es sei denn, man arbeitet mit einer Verschlüsselung. Die Idee, die IP des Sendeservers zu suchen, ist sicher nicht schlecht, lässt sich leider auch fälschen, ist aber doch schon schwieriger als "nur" den Absender zu fälschen.

[eknori]

Das Problem bei dem Received Feld ist nur, daß die Mails ja nicht vom Domino selber abgeholt werden können, sondern z.B. von Pullmail.
Und da steht dann im received 127.0.0.1  habe das allerdings noch nicht verifiziert; hier in der Firma steht die Adresse unseres Mailsscanners drin. Pullmail muß ich mir heute abend zuhause mal ansehen.

Ulrich

[Semeaphoros]

Na ja, schon, nur solltest Du ja mehrere Received-Items haben und damit sollte die Rückverfolgungsroute rekonstruiert werden können. Passiert das auf einem 6er Server? Der hat dafür - soviel ich weiss - sogar eine besondere Methode irgendwo. Wenn das ein 6er ist, suche ich mal nach der Info.

[eknori]

ja, ist ein 6er; habe gerade mal remote zuhause nachgesehen. ist nur 1 received feld drin mit der Adresse des POP3 Retrievers

[Semeaphoros]

Arrg, dann schmeisst irgendwo in der Mitte irgendjemand die Headers weg ....... das ist schlecht. Dann nützt natürlich auch das Rausziehen der Received-Angaben nix. Andere Frage: warum wird nicht direkt an den Domino gesendet? Könnte mit Name@IP-Adresse auch ohne einen DNS-Eintrag funktionieren (nur so eine Vermutung ins Blaue)

[eknori]

das ist eine der Randbedingungen, der Domino steht zwar im selben Gebäude, darf aber nicht ins Netzt daher Anbindung über ISDN oder DSL

[Glombi]

Evtl. kann man sowas wie TANs und PINs umsetzen. Diese wird dann in das Betrefffeld geschrieben und auf dem Dominoserver ausgewertet.
Das Unternehmen muesste in regelmäßigen Abstanden gültige Token generieren und den Usern zur Verfügung stellen...

Andreas

[Semeaphoros]

.... ach, wirklich?

Sollte ich mir wirklich Gedanken machen, einen Notes-Relay anzubieten, von dem dann der Domino die Sache via Notes-Verbindung abholen kann?

[koehlerbv]

Das mit den TANs könnte man auch automatisieren, wenn ins Mail-Template eingegriffen werden kann. Aus Absendedatum und Absender könnte man ein "Siegel" errechnen lassen, das dann vom empfangenden Server ausgewertet wird. Da des Absenders Siegel jeden Tag anders aussieht, müsste man schon eine Menge krimineller Energie aufwenden, um sowas zu knacken.
Orte, das Siegel zu speichern, gäbe es dann mehrere (Subject, Ende des Bodys, ReplyTo ...).

HTH,
Bernhard