Jump to content

SMTP Sicherheit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

ich habe eine Frage bzgl. der Sicherheit und SMTP. Wir betreiben einen Exchange Server 2010. Im Internet existieren diverse Tools zur Prüfung auf offenes Relay etc. Bei den entsprechenden Sites erhalte ich als Resultat stets, dass der Server in Ordnung konfiguriert ist. Allerdings habe ich ein kleines Problem und kann mir das nicht erklären.

 

Einen solchen Relay-Test kann ich durchaus manuell per telnet vornehmen. Ich habe hier die Möglichkeit, von einer IP-Adresse aus zu testen, die einen gültigen mx-Record und DNS (forward und reverse) Einträge besitzt (das schon mal vorab).

 

Sende ich als ein Nutzer, der nicht im Verzeichnis ist (a@test.de) an einen vorhandenen User (a@exch2010.tld), kommt die Mail an, was in Ordnung ist.

 

Sende ich als ein Nutzer, der im Verzeichnis vorhanden ist(a@exch2010.tld) an eine fremde Mail Domain (b@provider.tld) verweigert der Exchange den zustellversuch. Soweit auch gut.

 

Sende ich als ein Nutzer, der im Verzeichnis vorhanden ist (a@exch2010.tld) an einen weiteren User im Verzeichnis (b@exch2010.tld) kommt die Mail komischerweise an. Ich würde hier erwarten, dass der Exchange die Annahme verweigert, tut er allerdings nicht. Ich kann mir das nicht erklären, die Mail wird dann zugestellt. Kann das eventuell jemand erklären?

 

Viele Grüße und schönes WE,

walkman

Edited by walkman
Link to post

Im Internet existieren diverse Tools zur Prüfung auf offenes Relay etc

 

Kein offenes Relay bedeutet, dass der Absender einer fremden Domäne nicht an eine andere fremde Domände über euren Server senden darf.

 

Sende ich als ein Nutzer, der im Verzeichnis vorhanden ist (a@exch2010.tld) an einen weiteren User im Verzeichnis (b@exch2010.tld) kommt die Mail komischerweise an

 

Das ist beim SMTP Protokoll normal. Es wird nicht der Absender überprüft sondern nur die Domänen. Und User der eigenen Domäne dürfen nun einmal an andere User der eigenen Domäne senden. Das ist ja genau das, was jeder Spammer macht.

 

Abhilfe schafft hier ein SPF Eintrag im DNS - https://de.wikipedia.org/wiki/Sender_Policy_Framework . Damit wird dann überprüft, ob der Host des Absenders berechtigt ist, mit eurer Domäne zu senden.

 

LG Günther

Link to post

Ah ok, ich verstehe. Als open relay würde ich das Ganze auch nicht betiteln. Für mich passte das zumindest beim ersten Blick in diese Kategorie. Dank für die Info.

 

Dann mal anders gefragt in die Runde: Sollte man sowas nicht grundsätzlich versuchen zu verhindern?

 

Das mit dem SPF ist ein guter Hinweis, besten Dank. Den haben wir in der Tat nicht. Sofern vorhanden: Prüft der Exchange diesen?

Edited by walkman
Link to post

Dann mal anders gefragt in die Runde: Sollte man sowas nicht grundsätzlich versuchen zu verhindern?

Kommt darauf an. ;)

 

Das mit dem SPF ist ein guter Hinweis, besten Dank. Den haben wir in der Tat nicht. Sofern vorhanden: Prüft der Exchange diesen?

Wenn man das entsprechend konfiguriert schon.

Link to post

Das "kommt drauf an" würde mich weiter interessieren. Welche Szenarien kommen denn in Betracht, das man das möchte? Aus dem Bauch heraus bin ich eher geneigt zu sagen, dass man dies verhindern sollte. Aber ich bin um ehrlich zu sein auch überrascht, dass es bisher keine Vorfälle gab bei uns, wo das als spam-Möglichkeit missbraucht wurde.

Link to post

Das "kommt drauf an" würde mich weiter interessieren. Welche Szenarien kommen denn in Betracht, das man das möchte? Aus dem Bauch heraus bin ich eher geneigt zu sagen, dass man dies verhindern sollte. Aber ich bin um ehrlich zu sein auch überrascht, dass es bisher keine Vorfälle gab bei uns, wo das als spam-Möglichkeit missbraucht wurde.

 

Es gibt Organisationen die mehrere Mailsysteme haben die alle die selbe Domain. Da wäre es doch b***d wenn die Annahme verweigert würde, richtig? Ist das nicht der Fall, will man das verhindern um Spoofing zu vermeiden.

 

ASR

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...