Eigenen SMTP Server bei Kundengeräten nutzen

[RealUnreal 6]

Hallo zusammen,

 

Wir haben einige Kunden mit Endgeräten (Druckern) von denen ich mir gerne intervallmäßig Berichte schicken lassen möchte.

Die Drucker unterstützen das Senden von Berichten via SMTP an eine Empfängeradresse.

 

Es gibt Kunden die keinen eigenen Mail Server haben, sondern Postfächer von Anbietern wie GMX nutzen.

 

Der Gedanke ist, meinen eigenen SMTP Server mit einem extra Postfach zum senden dieser Berichte nutzen.

Das Postfach wäre dann z.b. Berichte@meinedomain.de

Ich würde die gleiche Adresse für diverse Kunden nutzen.

 

Jetzt die Frage:

Angenommen es schafft ein Angreifer bei einem der Kunden das SMTP Passwort heraus zu finden.

Könnte ein Angreifer dann SMTP Berichte der anderen Kunden möglicherweise lesen?

Oder ist das zu vernachlässigen?

 

Danke vorab und viele Grüße

Unreal

[cj_berlin 1.137]

Moin,

grundsätzlich hat ja SMTP erst mal nichts mit dem Zugriff auf die Postfächer zu tun. Je nachdem, wie Du das baust, muss die verwendete SMTP-Anmeldung theoretisch gar keinen Zugriff auf irgendwelche Postfächer ermöglichen.

Die viel realere Gefahr wäre die einer DoS-Attacke, wobei jemand Deinen Mailserver vollmüllt. Und natürlich darf der verwendete SMTP-Server nicht auch noch senden können, jedenfalls nicht mit der Anmeldung, die Du bei Kunden hinterlegst.

[RealUnreal 6]

vor 23 Minuten schrieb cj_berlin:

Moin,

grundsätzlich hat ja SMTP erst mal nichts mit dem Zugriff auf die Postfächer zu tun. Je nachdem, wie Du das baust, muss die verwendete SMTP-Anmeldung theoretisch gar keinen Zugriff auf irgendwelche Postfächer ermöglichen.

 

Hi! Ja, genau so denke ich mir das auch.

 

vor 24 Minuten schrieb cj_berlin:

Und natürlich darf der verwendete SMTP-Server nicht auch noch senden können, jedenfalls nicht mit der Anmeldung, die Du bei Kunden hinterlegst.

 

hhmm...Da bin ich nicht sicher ob ich das verstehe. Der Sinn des SMTP Server ist doch, dass er senden kann oder was meinst du?

[cj_berlin 1.137]

vor 6 Minuten schrieb RealUnreal:

hhmm...Da bin ich nicht sicher ob ich das verstehe. Der Sinn des SMTP Server ist doch, dass er senden kann oder was meinst du?

Ja, aber dieser SMTP sollte, zumindest mit den Anmeldedaten, nicht weitersenden. Denk Spamschleuder.

[RealUnreal 6]

vor 10 Minuten schrieb cj_berlin:

nicht weitersenden

 

Immer noch nicht kapiert.

Ich benutze einen externen Mailserver der Telekom.

 

Du meinst, dass jemand das SMTP Passwort ausspähen kann und dann damit Spam verschickt.

Ok. Aber ich weiß noch nicht genau wie ich das verhindern kann.

[cj_berlin 1.137]

vor 1 Minute schrieb RealUnreal:

Ok. Aber ich weiß noch nicht genau wie ich das verhindern kann.

Wenn Du auf die Konfiguration des Servers keinen Einfluss hast, kannst Du es vermutlich nicht verhindern.

Du müsstest ja quasi einstellen, dass der Benutzer (der sich authentifiziert) Mails nur an eine Adresse senden darf (z.B. an seine eigene). Dann kann aber jemand, der im Besitz der Zugangsdaten ist, auch per IMAP in dieses Postfach reinschauen...

 

Mir würden da ein paar krude Bastellösungen einfallen, aber das möchte ich hier nicht ausbreiten.

[RealUnreal 6]

vor 3 Minuten schrieb cj_berlin:

Wenn Du auf die Konfiguration des Servers keinen Einfluss hast, kannst Du es vermutlich nicht verhindern.

Du müsstest ja quasi einstellen, dass der Benutzer (der sich authentifiziert) Mails nur an eine Adresse senden darf (z.B. an seine eigene). Dann kann aber jemand, der im Besitz der Zugangsdaten ist, auch per IMAP in dieses Postfach reinschauen...

 

Mir würden da ein paar krude Bastellösungen einfallen, aber das möchte ich hier nicht ausbreiten.

 

Ja. Vielen Dank für deine Hilfe.

Ich muss mir jetzt Gedanken machen wie wahrscheinlich es ist, dass diese Passwörter aus einem Drucker ausgelesen werden könnten.

[mwiederkehr 351]

vor 2 Minuten schrieb RealUnreal:

Ich muss mir jetzt Gedanken machen wie wahrscheinlich es ist, dass diese Passwörter aus einem Drucker ausgelesen werden könnten.

Das geht sehr einfach: entweder Quellcode im Browser anzeigen (geht immer noch bei vielen Geräten, deshalb werde ich auch etwas ungehalten, wenn Kunden dort ihren persönlichen Account eintragen) oder einen Fake-SMTP-Server starten auf dem Rechner und den Servernamen umstellen.

 

Aber wenn Du die Berichte an Dich schicken willst und Deinen Mailserver verwendest, weshalb ist dann überhaupt Authentifizierung notwendig?

 

Falls die E-Mails an externe Adressen gehen müssen, könntest Du es mit einem kleinen vServer mit Postfix und postfwd lösen. Damit lassen sich Regeln wie "Benutzer x darf nur an Adresse y schicken" umsetzen. Zusätzlich kannst Du für jeden Kunden einen anderen Benutzer erstellen. Ist aber nicht ganz trivial von der Syntax her.

 

Oder anderer Vorschlag: schau Dir mal E-Mail-Dienstleister wie Sendgrid, Mailjet, Mailgun etc. an. Dort kann man beliebige SMTP-Credentials erstellen und evtl. kann man dort die Empfänger pro Benutzer über das Webinterface limitieren. Das wäre weniger sexy als ein eigener Postfix, aber wesentlich komfortabler. 

[RealUnreal 6]

ok, danke dir!

Ich gucke mir das alles an!

[NorbertFe 1.805]

Diverse Enterprise Hersteller liefern für sowas die passende Appliance (Zigarettenschachtelgröße = Raspi), der das im Netz einsammelt und dann zusammen zustellt. Da kann man dann auch ne "sinnvollere" SChnittstelle als Mail verwenden. ;) Wer also Lust auf ein Bastelprojekt hat, weil er das für mehrere Kunden erledigen möchte, wär ja mal was ;)

vor einer Stunde schrieb RealUnreal:

Ich muss mir jetzt Gedanken machen wie wahrscheinlich es ist, dass diese Passwörter aus einem Drucker ausgelesen werden könnten.

Wahrscheinlich genug und es sind noch NIE Drucker in Ebay mit sensiblen Daten aufgetaucht. ;) Noch NIE!

[testperson 1.534]

Hi,

 

zum Einen bin ich bei Norbert und es gibt bei den meisten Druckerherstellern Sofware für ein Fleet Management bzw. bieten die meisten Drucker-Dienstleister sowas an. Alternativ - für das "Bastelprojekt" - Zabbix (oder eine andere Monitoringlösung) die vor Ort (bspw. mit einem Zabbix Proxy) die Drucker per SNMP abfragt und dann alles an den entsprechenden Zabbix Server liefert.

 

Gruß

Jan

[teletubbieland 139]

Noch ein anderer Gedanke:

Setze lokal einen dummen Mailserver auf, der nur sendet und lasse die Drucker die Mails an ihn schicken, der leitet sie dann mit einem anderen Konto weiter.

So kannst Du irgendwas als Zugang nehmen, was extern nutzlos ist.

 

[NorbertFe 1.805]

vor einer Stunde schrieb teletubbieland:

Setze lokal einen dummen Mailserver auf,

Sowas wie auf einem raspi? ;)

[teletubbieland 139]

vor 2 Stunden schrieb NorbertFe:

Sowas wie auf einem raspi? ;)

ja, oder sentsmtp. Ist ein einfaches Tool, bei dem man auch steuern kann, welche IP mails versenden darf.

Das kann man dann bei der Sekretärin installieren

 

[Sunny61 773]

vor 9 Stunden schrieb NorbertFe:

Sowas wie auf einem raspi? ;)

Hamster, Hamster. :)