# Postifx rule - reject From: & Return-path are not from the same domain



## IPTRACE (Apr 11, 2019)

Hello Guys!

I need some help to create any rule, exp. pcre or regex to check if domain (@domain.tld) fields From: and Return-path are the same.
Generally, I'd like to avoid create another transport policy in Postfix, perhaps the above can do the job.
Thanks for any support.


----------



## VladiBG (Apr 11, 2019)

if you are using spamassassin read here: 


			https://www.lexo.ch/blog/2018/07/solved-spf-setting-does-not-apply-to-return-path-causing-more-spam-and-phishing-e-mails-spamassassin-postfix/
		



```
../spamassassin/local.cf
Add the following 2 entries to that file:

header          RETURNPATH_FROM_MISMATCH   ALL =~ /.*?^Return-Path:\s*\<[a-z0-9?=._%+-]+@([a-z0-9?=._%+-]+)\>.*^From:\s*[a-z0-9?=._%+-]+\s*\<[a-z0-9?=._%+-]+@(?!\1\>).*/ism
describe        RETURNPATH_FROM_MISMATCH   Return-Path / From Angaben unterschiedlich. Dies ist ein Indiz, dass ein Hacker versucht Ihre Identitaet zu stehlen. Dies kann allerdings auch bei gewissen Newslettern zutreffen, die Sie empfangen moechten. Sollte dies der Fall sein leiten Sie uns diese Nachricht bitte an support@yourdomain.com weiter und wir setzen den Absender auf eine weisse Liste | Return-Path / From parameter mismatch. This is an indicator for a hacker trying to steal your identity. Unfortunately this can also apply to valid newsletters you'd like to receive regularily. In such a case please forward this e-mail to support@yourdomain.com and we'll put the sender onto a whitelist.
score           RETURNPATH_FROM_MISMATCH   7.0
 

header          FROM_RETURNPATH_MISMATCH   ALL =~ /.*?^From:\s*[a-z0-9?=._%+-]+\s*\<[a-z0-9?=._%+-]+@([a-z0-9?=._%+-]+)\>.*^Return-Path:\s*\<[a-z0-9?=._%+-]+@(?!\1\>).*/ism
describe        FROM_RETURNPATH_MISMATCH   Return-Path / From Angaben unterschiedlich. Dies ist ein Indiz, dass ein Hacker versucht Ihre Identitaet zu stehlen. Dies kann allerdings auch bei gewissen Newslettern zutreffen, die Sie empfangen möchten. Sollte dies der Fall sein leiten Sie uns diese Nachricht bitte an support@yourdomain.com weiter und wir setzen den Absender auf eine weisse Liste | Return-Path / From parameter mismatch. This is an indicator for a hacker trying to steal your identity. Unfortunately this can also apply to valid newsletters you'd like to receive regularily. In such a case please forward this e-mail to support@yourdomain.com and we'll put the sender onto a whitelist.
score           FROM_RETURNPATH_MISMATCH   7.0
```


----------



## IPTRACE (Apr 11, 2019)

Thank you but I do not use it.


----------

