<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    <blockquote type="cite">
      <pre>On 15 Jul 2019, at 18:11, Trever L. Adams via dovecot <<a href="https://dovecot.org/mailman/listinfo/dovecot">dovecot at dovecot.org</a>> wrote:
><i> So, one of the problems I am seeing is that people are trying to fake
</i>><i> users into revealing information by sending from an outside domain but
</i>><i> with an internal reply to address and claiming to be administration, IT
</i>><i> or what not.
</i>
You should not accept external mail claiming to be from your domain unless that mail comes via authenticated submission. But if the reply to is going to an internal address… 

I’m puzzled by exactly what you mean here. Are you saying that users on your system are trying to phish other users on your system?

><i> I can set up something that will reject if from is outside the domain by
</i>><i> reply to is internal. The problem is in some setups, there are fetchmail
</i>><i> setups. I do not want to reject these with a message. Which is what I am
</i>><i> currently doing for the others. Maybe I should discard them all without
</i>><i> rejecting.
</i>
I haven’t used fetch mail in many many years, so I can’t answer anything specifically about it, but if you use it to allow external senders to send mail via your system in a way that is not authenticated then you should not do that.
</pre>
    </blockquote>
    <p>I do NOT allow email claiming to be from my domains. The problem
      is "forgery" of Reply-To headers. It isn't really forgery as far
      as I know there is now method to check this anywhere. People are
      allowed to put what they want there. The setups in question do NOT
      allow unauthenticated submission with a FROM from the internal
      domain.</p>
    <p>I have erased the email in question, so I cannot give an exact
      example but it is something like this:</p>
    <p>From: <a class="moz-txt-link-abbreviated" href="mailto:something@devcubesomething.org">something@devcubesomething.org</a> (I remember cube and dev in
      the domain)<br>
    </p>
    <p>To: trever@thedomain (yes it was sent to me, thankfully not one
      of the other users)</p>
    <p>Reply-To: info@thedomain (yes, stupid account to use, but that
      was it)</p>
    <p>Subject: Your account will be deleted/deactivated</p>
    <p>Some nonsense about having failed to follow directions and if I
      don't click the link below, the account would be deleted. It was
      NOT talking about an account on another system, but the email
      account itself.</p>
    <p><br>
    </p>
    <p>So, as you see, it is coming from an outside domain. As the sieve
      code showed, I am testing for where reply-to claims to be for
      internal domain, but the from is NOT from it. This email was a
      good example of that.<br>
    </p>
  </body>
</html>