15
Exchange 2013 - Schutz vor gefälschten Absendern
Hallo zusammen,
ich habe bei nem Kunden einen Exchange 2013 stehen. Aus Gründen des Spamschutzes und wegen Bandbreitenbegrenzung gehen Mails über ein Relay rein und raus (Postfix).
Jetzt kommen Mails von extern bei einigen Mitarbeitern rein, die einen gefälschten Absender aus der eigenen Domäne haben.
Schaut man in den Header, sieht man aber leicht, dass die Mails von extern kommen.
Also Mitarbeiter 1 erhält von aussen ne Mail mit gefälschtem Absender von Mitarbeiter 2.
Wie kann ich das verhindern? Ich hätte gedacht, dass der Mailserver in seinen Standardeinstellungen eh schon so schlau ist und prüft, woher die Mails kommen.
Das scheint beim Exchange offenbar nicht so zu sein.
Wo muss die Einstellung vorgenommen werden - auf dem Exchange oder auf dem Relay?
Gruß,
Colt
ich habe bei nem Kunden einen Exchange 2013 stehen. Aus Gründen des Spamschutzes und wegen Bandbreitenbegrenzung gehen Mails über ein Relay rein und raus (Postfix).
Jetzt kommen Mails von extern bei einigen Mitarbeitern rein, die einen gefälschten Absender aus der eigenen Domäne haben.
Schaut man in den Header, sieht man aber leicht, dass die Mails von extern kommen.
Also Mitarbeiter 1 erhält von aussen ne Mail mit gefälschtem Absender von Mitarbeiter 2.
Wie kann ich das verhindern? Ich hätte gedacht, dass der Mailserver in seinen Standardeinstellungen eh schon so schlau ist und prüft, woher die Mails kommen.
Das scheint beim Exchange offenbar nicht so zu sein.
Wo muss die Einstellung vorgenommen werden - auf dem Exchange oder auf dem Relay?
Gruß,
Colt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 363781
Url: https://administrator.de/contentid/363781
Printed on: April 25, 2024 at 12:04 o'clock
15 Comments
Latest comment
Moin,
wir haben das am eingehenden Postfix relay per "check_sender_access" bewerkstelligt. Unter check_sender_access sind alle unsere Domains mit "<domain> 554 don't spoof!" eingetragen und werden daher abgewiesen. Das geht aber nur, wenn du ein- und ausgehendes Relay auf unterschiedlichen Kisten laufen lässt.
Details dazu kannst du der Postfix Doku entnehmen.
lg,
Slainte
wir haben das am eingehenden Postfix relay per "check_sender_access" bewerkstelligt. Unter check_sender_access sind alle unsere Domains mit "<domain> 554 don't spoof!" eingetragen und werden daher abgewiesen. Das geht aber nur, wenn du ein- und ausgehendes Relay auf unterschiedlichen Kisten laufen lässt.
Details dazu kannst du der Postfix Doku entnehmen.
lg,
Slainte
Hallo,
Gruß,
Peter
Zitat von @coltseavers:
ich habe bei nem Kunden einen Exchange 2013 stehen. Aus Gründen des Spamschutzes und wegen Bandbreitenbegrenzung gehen Mails über ein Relay rein und raus (Postfix).
Also der MX Eintrag zeigt auf die Firewall (Öffentliche IP?) und wo ist der Smarthost? Auch auf der Firewall oder wo? Um welchen Mailserver auf der Firewall handelt es sich denn?ich habe bei nem Kunden einen Exchange 2013 stehen. Aus Gründen des Spamschutzes und wegen Bandbreitenbegrenzung gehen Mails über ein Relay rein und raus (Postfix).
Gruß,
Peter
Hallo,
der MX-Eintrag zeigt natürlich auf das Postfix-Relay, welches in einem RZ steht. Der Exchange steht beim Kunden.
Ein- und ausgehendes Relay ist der gleiche Host.
@SlainteMhath:
wieso darf ein- und ausgehendes Relay nicht dasselbe sein?
wenn ich check_sender_access in die smtpd_recipient_restrictions packe, und davor aber noch ein permit_my_networks - sollte es dann nicht gehen?
Gruß,
Colt
der MX-Eintrag zeigt natürlich auf das Postfix-Relay, welches in einem RZ steht. Der Exchange steht beim Kunden.
Ein- und ausgehendes Relay ist der gleiche Host.
@SlainteMhath:
wieso darf ein- und ausgehendes Relay nicht dasselbe sein?
wenn ich check_sender_access in die smtpd_recipient_restrictions packe, und davor aber noch ein permit_my_networks - sollte es dann nicht gehen?
Gruß,
Colt
wieso darf ein- und ausgehendes Relay nicht dasselbe sein?
Ich hab das seinerzeit getrennt, weil ich mir nicht sicher war ob das evtl. mit den ausgehenden Mails und deren Regeln kollidiert.wenn ich check_sender_access in die smtpd_recipient_restrictions packe, und davor aber noch ein permit_my_networks - sollte es dann nicht gehen?
Hab ich in der Konstellation noch nicht getestet, könnte aber funktionieren ;)
Moin,
es gibt drei verschiedene Varianten diese Anforderungen zu realsieren. Diese kannst du unter Reject incoming emails that use your own domain as sender nachlesen. Dabei spielt es keine Rolle, ob Incoming/Outgoing auf getrennten Servern läuft.
Gruß,
Dani
es gibt drei verschiedene Varianten diese Anforderungen zu realsieren. Diese kannst du unter Reject incoming emails that use your own domain as sender nachlesen. Dabei spielt es keine Rolle, ob Incoming/Outgoing auf getrennten Servern läuft.
Gruß,
Dani
Hallo Dani,
danke für den Link! Mir erscheint das aber unnötig kompliziert für meinen Fall.
Nochmal das Szenario:
Es gibt eine domain "xyz.xy"
Nur der Exchange-Server mit der ip: 555.555.555.555, welcher hinter dem Relay sitzt, darf Mails mit dieser Absender-Domain an das Relay einliefern.
Warum kann ich dann nicht einfach folgendes machen:
Und in die /etc/postfix/blacklist packe ich dann die Domain xyz.xy mit einem Reject.
Ergebnis soll sein: alles, was NICHT vom Exchange oder einem sasl_authenticated client kommt, aber als Absender dennoch die Domain xyz.xy trägt wird rejected.
Richtig oder falsch?
Gruß,
Colt
danke für den Link! Mir erscheint das aber unnötig kompliziert für meinen Fall.
Nochmal das Szenario:
Es gibt eine domain "xyz.xy"
Nur der Exchange-Server mit der ip: 555.555.555.555, welcher hinter dem Relay sitzt, darf Mails mit dieser Absender-Domain an das Relay einliefern.
Warum kann ich dann nicht einfach folgendes machen:
smtpd_recipient_restrictions =
...
permit_my_networks // 555.555.555.555 darf versenden
permit_sasl_authenticated // der normale Mailclient von irgendwo darf versenden
check_sender_access hash:/etc/postfix/blacklist
...Und in die /etc/postfix/blacklist packe ich dann die Domain xyz.xy mit einem Reject.
Ergebnis soll sein: alles, was NICHT vom Exchange oder einem sasl_authenticated client kommt, aber als Absender dennoch die Domain xyz.xy trägt wird rejected.
Richtig oder falsch?
Gruß,
Colt
Hi,
Mach es doch einfach über den Exchange:
www.frankysweb.de/exchange-server-mailspoofing-verhindern/amp/
Viele Grüße
Criemo
Mach es doch einfach über den Exchange:
www.frankysweb.de/exchange-server-mailspoofing-verhindern/amp/
Viele Grüße
Criemo
Hallo,
Warum dann erst die Mail annehmen, egal ob SPAM oder nicht?
Gruß,
Peter
Warum dann erst die Mail annehmen, egal ob SPAM oder nicht?
Gruß,
Peter
Hallo,
habe es nun so gelöst, wie ich es oben beschrieben habe. Läuft soweit, wie es soll.
Gruß,
Colt
habe es nun so gelöst, wie ich es oben beschrieben habe. Läuft soweit, wie es soll.
Gruß,
Colt
Ich würde eh ne Firewall mit Mail Filter vorschalten.
@Criemo
Gruß,
Dani
Ich würde eh ne Firewall mit Mail Filter vorschalten.
eine Firewall mit Mailfilter gibt es nicht. Eine Firewall ist eigentlich nur dafür da, denn aus/eingehenden Datenverkehr zu regeln.Es gibt evtl. eine Box, welche verschiedene Dienste neben einer Firewall anbietet. Sowas heißt nennt man dann UTM.Gruß,
Dani
Ja ich meine auch eine UTM. Sophos oder Securepoint oder what Ever gibt ja tausende am Markt.
??? warum da extra noch ne Kiste zwischenbasteln? Der Postfix kann es doch mit seiner Boardausrüstung (ich behaupte: ebenso gut)
Liegt glaube ich daran, dass ich keine Ahnung von Postfix habe
Aber warum dann überhaupt noch was dazwischen schalten und warum nicht die direkt mailannahme mit dem Exchange aber mit eingeschaltetem mailspoofing Schutz?
Aber warum dann überhaupt noch was dazwischen schalten und warum nicht die direkt mailannahme mit dem Exchange aber mit eingeschaltetem mailspoofing Schutz?
Aus 2 Gründen:
1)
Der Exchange steht beim Kunden im Betrieb und hat nicht die beste Internetanbindung.
Da über den Exchange schonmal ne Mail an Hunderte/Tausende Empfänger mit Anhang rausgeht zieht sich das bei der schlechten Anbindung enorm, bis die Mail an alle versendet wurde und belastet die Leitung.
Mit einem Relay davor wird die Mail genau einmal an das Relay im Rechenzentrum weitergeleitet, und von dort aus mit bester Anbindung an alle Empfänger versendet.
2)
Ich persönlich kann mit dem Postfix einfach besser als mit dem Exchange.
Beim Exchange finde ich es seit jeher sehr unschön, dass man einen Teil der Konfiguration über ein grafisches Interface vornmimmt, und einen Teil über die Konsole. (Warum wird bei einem Windows-Betriebssystem nicht alles in Fenstern gemacht?)
Dann kann ich auch gleich alles über Postfix in der Konsole machen. Zudem finde ich den Postfix viel unkomplizierter, ressourcenschonender und mächtiger. z.B. ist Greylisting für den Exchange ein Fremdwort.
Aber gut - ein Stück weit ist das natürlich auch Geschmackssache.
1)
Der Exchange steht beim Kunden im Betrieb und hat nicht die beste Internetanbindung.
Da über den Exchange schonmal ne Mail an Hunderte/Tausende Empfänger mit Anhang rausgeht zieht sich das bei der schlechten Anbindung enorm, bis die Mail an alle versendet wurde und belastet die Leitung.
Mit einem Relay davor wird die Mail genau einmal an das Relay im Rechenzentrum weitergeleitet, und von dort aus mit bester Anbindung an alle Empfänger versendet.
2)
Ich persönlich kann mit dem Postfix einfach besser als mit dem Exchange.
Beim Exchange finde ich es seit jeher sehr unschön, dass man einen Teil der Konfiguration über ein grafisches Interface vornmimmt, und einen Teil über die Konsole. (Warum wird bei einem Windows-Betriebssystem nicht alles in Fenstern gemacht?)
Dann kann ich auch gleich alles über Postfix in der Konsole machen. Zudem finde ich den Postfix viel unkomplizierter, ressourcenschonender und mächtiger. z.B. ist Greylisting für den Exchange ein Fremdwort.
Aber gut - ein Stück weit ist das natürlich auch Geschmackssache.
