beidermachtvongreyscull
Goto Top

SMTP-Sendeconnector nach außen absichern, aber wie?

Guten Morgen,

vielleicht hat jemand von Euch eine Idee für folgendes Problem:
Mein EX2010 mit neuesten Updates funktioniert soweit zuverlässig, aber ich habe hin und wieder das Problem, dass jemand von außen über SMTP mit meiner Firmenadresse (z.B. @firma.de) mit beliebigem Vorsatz vor dem @-Zeichen Emails verschleudert.

Wie muss ich Exchange einstellen, dass in diesem Fall zwingend eine Authentifizierung erfolgen muss und dennoch über normale SMTP-Verbindungen uns Emails zugestellt werden können?

Es geht tatsächlich nur darum, dass niemand z.B. per Telnet 25 auf unseren Server geht macht ein mail from: beliebig25@firma.de und kann so mir nichts Dir nichts Emails rausballern.

Vielen Dank für jeden guten Ratschlag.

Content-Key: 297312

Url: https://administrator.de/contentid/297312

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: 117471
117471 25.02.2016 um 09:21:57 Uhr
Goto Top
Öhm - eigentlich nimmt der auf Port 25 doch nur E-Mails für seine eigenen Domains an?!?
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 25.02.2016 um 09:45:02 Uhr
Goto Top
Er ist kein Openrelay. Das habe ich mit mxtoolbox.com getestet.
Mein Problem ist, dass wenn man per telnet auf port 25 geht und von eine Email mittels
mail from: irgendwas@firma.de
erzeugt, diese ohne weitere Überprüfung passieren kann.

Ich kann zwar mit den Spamagenten sowas nochmal eindämmen, habe aber das Problem, dass hier unser Virenschutz umgangen werden kann.
Wir nutzen Sophos PureMessage. Der sitzt normalerweise zwischen SMTP und Exchange, aber hier wird anscheinend nur der SMTP-Dienst gezielt genutzt.
Und das macht mir Sorgen.
Mitglied: GuentherH
Lösung GuentherH 25.02.2016 aktualisiert um 11:01:14 Uhr
Goto Top
Mein Problem ist, dass wenn man per telnet auf port 25 geht und von eine Email mittels
mail from: irgendwas@firma.de
erzeugt, diese ohne weitere Überprüfung passieren kann.

Wenn man von extern über from: irgendwas@firma.de an rcpt: irgendwas@anderefirma.de senden kann dann hast du eine Open Relay.
Wenn man von extern über from: irgendwas@firma.de an rcpt: jemand@firma.de senden kann, dann ist das normal. Das sollte eigentlich der "SPAM Agent abfangen können. Wenn nein, dann liegt es an der nicht kompletten Feature Ausstattung des Spam Agent.

Gute Spam Filter wie ORF oder XWALL beherschen das.

LG Günther
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 25.02.2016 um 10:17:18 Uhr
Goto Top
Hallo Günther,

vielen Dank für die Klarstellung. Ich hatte Bretter vorm Kopf. face-sad
Ein Open Relay ist er nicht. Ich hab's gerade nochmal durchgespielt.

Was mir Sorgen macht ist, dass der Server in seinem SMTP_Send-Log tatsächlich den Versand einer virulenten Email nach außen protokolliert hat.
Wenn es von außen nicht möglich ist, muss es also von innen gekommen sein.

Ich hatte bei so etwas schon mal die Pickup- und Replay-Verzeichnisse in Verdacht, aber wenn ich die außer Betrieb setze, spielt PureMessage nicht mehr mit.

Ein flächendeckender Virenschutz ist auf meinen Clients drauf.

Hast Du eine Idee, wo ich noch schauen könnte?

Vielen Dank und LG
Andreas
Mitglied: GuentherH
Lösung GuentherH 25.02.2016 aktualisiert um 11:01:11 Uhr
Goto Top
Die Firewall so konfigurieren, dass nur der Exchange Server bzw. der Mail Proxy nach aussen senden darf. Dann solltest du in den Log Files sehen ob ein Client versuch E-Mails zu versenden.

LG Günther