Relaysicherheit
Beachten Sie dazu auch Relaykonzept und IONOS SMTPAUTH Fail und IONOS als Smarthost
Immer wieder hört man von "offenen Relays" und ungeschützten Systemen. Ein Relay ist ein Mailserver, welcher Mails eines Systems annimmt und an andere Systeme weiter gibt. Das ist natürlich die ureigene Aufgabe eines Mailservers, solange die Mails "gutartig" sind. So ist es völlig normal, dass ein Mailserver Nachrichten an "seine Anwender" annimmt und zustellt und Nachrichten von diesen Anwendern an die Empfänger im Internet sendet. Dazu nutzt der Mailserver eine Entscheidungstabelle, welche letztlich ihm hilft, die gewünschte Kommunikation von einem Missbrauch zu unterscheiden.
Hinweis:
Wenn Sie Outlook, Outlook Web Access oder ActiveSync verwenden, dann ist
diese komplette Tabelle in den meisten Fällen nicht relevant, da die
Mails hier nicht per SMTP an den Server eingeliefert werden, sondern
nach erfolgreicher Anmeldung per RPC oder HTTP an den Exchange Server
über den Postausgang laufen
Leider implementieren nicht alle Server alle Varianten richtig bzw. Administratoren konfigurieren Sie falsch. Prüfen Sie daher ihren Server auf die verschiedenen Fälle und ob das Ergebnis das gleiche ist. Wenn das Ergebnis abweicht, dann sollten Sie umgehend die damit verbundenen Risiken analysieren.
| Quell-IP | Anmeldung | MAIL FROM | RCPT TO | Ergebnis | Risiken |
|---|---|---|---|---|---|
|
|
|
|
|
|
Gefahr, dass intern falsche FROM-Adressen verwendet werden um Filter zu umgehen und Identitäten vorzutäuschen. |
|
|
|
Falsche From-Adressen und offenes Relay |
|||
|
|
|
|
Missbrauch externer Adressen um Identitäten vorzutäuschen |
||
|
|
|
Falsche From-Adressen und offenes Relay |
|||
|
|
|
|
|
Erfolgreich angemeldete Absender dürfen senden. Ratsam ist ein Abgleich, ob der Benutzer auch "seine" internen Adresse als Absender verwendet (ab Exchange 2007). |
|
|
|
|
Erfolgreich angemeldete Absender dürfen mit ihrer internen Adressen auch nach extern senden. Ratsam ist ein Abgleich, ob der Benutzer auch "seine" internen Adresse als Absender verwendet (ab Exchange 2007). |
|||
|
|
|
|
Gefahr der Fälschung mit einer externen Adresse. Interne Absender sollten mit ihrer internen Adresse senden. Benutzer ist aber bekannt |
||
|
|
|
Gefahr der Fälschung mit einer externen Adresse in Verbindung mit einem Relay in das Internet. Benutzer ist aber bekannt |
|||
|
|
|
|
|
|
Absender gibt vor, "intern" zu sein, was nicht stimmt. |
|
|
|
Klassisches "Offenes Relay". Viele Mailserver prüfen nur, ob die Absenderadresse intern ist und lassen dies zu |
|||
|
|
|
|
Eingehende Mail von Extern nach Intern muss zugelassen werden. Ein Spamschutz und Virenschutz gehört allerdings heute dazu. Auch sollten Mails an ungültige Empfängeradressen gar nicht mehr angenommen werden. |
||
|
|
|
Klassisches offenes Relay mit Missbrauchspotential. |
|||
|
|
|
|
|
Externe Anwender sollten nach einer Anmeldung natürlich mit ihrer internen Adresse nach intern senden. Verschlüsseln Sie unbedingt die Anmeldung. |
|
|
|
|
Externe Anwender sollten nach einer Anmeldung natürlich mit ihrer internen Adresse nach extern senden dürfen. Verschlüsseln Sie unbedingt die Anmeldung. |
|||
|
|
|
|
Wer sich anmeldet muss nicht mit einer fremden Adresse Mails nach intern zustellen. Er sollte die interne Adresse nutzen. |
||
|
|
|
Wer sich anmeldet muss nicht mit einer fremden Adresse Mails nach extern zustellen. Er sollte die interne Adresse nutzen. |
Ideal ist der Weg, dass sich alle Benutzer, Systeme und Dienste, die von intern Mails an Exchange zur lokalen Zustellung oder Weiterleitung zustellen, sich immer mit einem Domänenaccount authentifizieren. Dann kann Exchange 2007 auch die Berechtigungen zur Nutzung der Absenderadresse (SendAs) und die Erlaubnis zur Zustellen (Transportregeln) prüfen.
Weitere Links
- Relaykonzept - Sicherer Betrieb von Exchange als Maildrehscheibe
- IONOS SMTPAUTH Fail
- IONOS als Smarthost
- Exchange NOTFALL - Relaymissbrauch
- Relay bei Internet Mail
- Relay mit Exchange 200x
- Relay bei Internet Mail testen
- SMTP authentifiziert senden
- Senden als
- 935635 How to use the IPsec.vbs program to export an SMTP relay list from a computer that is running Exchange Server 2003
