Sicheres Relay für Clients im Internet

Ich habe ihnen auf der Seite "Internet Mail Relay" dargelegt, wie, warum und wie Relay funktioniert, benutzt wird und sie es abschalten können. Sie wissen ebenso von der Seite Client Protokolle, dass POP3 zwar ein Internet Standard ist, aber auf der anderen Seite zu den wenig sicheren Protokollen gehört.. Auf die Gefahren bei unsachgemäßer Konfiguration durch Missbrauch als Relay weise ich ausdrücklich hin.

Relay für Anwender

SMTP und damit der Exchange Internet Mail Dienst wird nicht nur für den Empfang und Versand von Nachrichten zwischen Mailservern im Internet genutzt, sondern auch von Anwendern, die per POP3 oder IMAP4 ihre Nachrichten abholen. Sie senden diese Nachrichten per SMTP an den Exchangeserver, damit dieser sie weiterleitet. Hierbei muss man aber aufpassen, dass diese Nutzung eigentlich ein gewolltes Relay ist. für Exchange macht es aber keinen unterschied, wer der Absender ist. Der SMTP-Dienst sollte daher Relaysicher konfiguriert werden.

Ansonsten müssen wir sicher hinbekommen, dass die Clients, die über uns ihre Nachrichten versenden sollen, entsprechend legitimiert werden. Hierzu gibt es mehrere Möglichkeiten:

SMTP von bestimmten IP-Adressen

Exchange erlaubt ihnen auf Basis der IP-Adresse des Clients als auch auf Basis der Netzwerkkarte, mit der sich der Client verbindet, ein Relay frei zu schalten. Das ist die bevorzugte Methode, wenn Sie Anwender in ihrem Netzwerk den Zugang per SMTP zum Internet gestatten wollen. Geben Sie einfach den einzelnen Rechner oder das Subnetz frei. Die IP-Adresse funktioniert nur sinnvoll, wenn externe Zugriff über eine andere Netzwerkkarte laufen. (NAT einer Firewall davor ist KEIN Schutz). Sie brauchen sich keine Gedanken zu Kennworten, Authentifizierung etc. zu machen.

Dies ist bei internen Anwender sogar recht einfach möglich, da wir hier entweder den IP-Nummernkreis der Clients oder die Netzwerkkarte des Server können. Aber im internen Netz werden Sie hoffentlich nicht Exchange mit POP3 missbrauchen, sondern eine leistungsfähigere Anbindung wählen. (Siehe Netzwerkkomunikation der Clients). So gut das mit internen Adressen funktioniert, so wenig eignet sich das für Heimarbeitsplätze, die über das Internet kommen. Es eignet sich für Heimarbeiter mit fester IP-Adresse oder Arbeitsplätze in vertrauten Netzwerken.

SMTP Relay beim Provider statt Exchange

Wenn Sie sich bei ihrem Internetprovider einwählen, dann bekommt der PC eine dynamische IP-Adresse aus dessen Bereich. Damit können Sie natürlich keinen Schutz auf dieser Basis errichten. Aber in diesem fall sollten sie auch gar nicht über ihren Exchange Server gehen. Ihr Provider wird ihnen einen Rechner nennen, an welchen Sie ihre Nachrichten absenden können. Der Provider hat dieses Relay meist so konfiguriert, dass es alle Nachrichten aus dem eigenen Adressenbereich des Providers weiterleiten darf. Ihr Mailprogramm wird seine Nachricht sehr schnell an das Relay los und dieses übernimmt dann die Verteilung an die eigentlichen Zielsysteme. Gerade wenn das Ziel nicht oder nur langsam erreichbar ist oder sie mehrere Kopien senden, spart diese Methode ihre Zeit und ihr Geld. Und ihre Internetanbindung des Exchange Servers wird so nicht belastet.

Die Nutzung eines Relay des Provider kann aber das Problem mitbringen, dass die Absenderadresse nicht von ihnen frei gewählt werden kann, sondern vom Provider geprüft und ersetzt wird. (T-Online Standard). Fragen Sie hier ihren Provider, wie Sie dies umgehen können.

Der direkte Versand von einer direkten IP-Adresse ist auch möglich, aber bremst ihren Client aus. Zudem sperren einige Firmen diesen Weg, damit der Absender nur über den Provider senden kann und damit Relay zu verhindern. Über die Protokolldateien der Provider ist sehr viel besser herauszufinden, wer der Absender war. Dies ist in rechtlicher Hinsicht wichtig, wenn der urheber ermittelt werden soll. Allein mit der IP-Adresse und der uhrzeit kann man meist nur wenig anfangen.

Wenn der Provider nicht gepfuscht hat, dann können Sie dieses Relay NUR aus dem Netzwerk des Providers erreichen. Wenn Sie sich aber über einen anderen Provider anwählen, dann müssen Sie auch das SMTP-Relay ändern.

Dies ist trotzdem von mir favorisierte Weg: Wenn ein Client im Internet seine Mails per POP3/IMAP4 vom Exchange Server abholt, dann kann er seine ausgehende Mails auch problemlos über das Relay des Providers senden, sofern die Absenderadresse nicht verändert wird. Zwar umgehe ich damit eine Protokollierung auf dem Server der Firma und eventuell vorhandene Virenwächter. ,Aber was machen die Benutzer, die gar nicht das System der Providers nutzen möchten, sondern den eigenen Exchange Server ?. Diese müssen sich wohl oder über "sicher" am Exchange Server autorisieren.

SMTP mit Login

Sofern ihr Mailprogramm den Versand von Nachrichten über SMTP mit Authentifizierung unterstützt, sollten sie diese Weg wählen. Sie haben ihre Postfach samt Kennwort bei diesem Server und können damit auch "sicher" Nachrichten senden. Der Mailserver erkennt sie anhand ihrer Zugangsdaten und erlaubt die Weiterleitung. Dies passiert bei jedem Versand. Dieses Verfahren entspricht dem Quasi-Standard RFC-2554, der von Emailprogrammen wie Microsoft Outlook/Express, Netscape müssenger und anderen unterstützt wird.

SMTP after POP

Viele Provider nutzen nicht die Wege der Authentifizierung mit SMTP, da nicht jedes System dies kann. Statt dessen wird der Relayzugang dynamisch frei geschaltet. Sie holen wie bisher ihre Nachrichten per POP3 oder IMAP4 vom Mailserver ab. für diesen Zugriff müssen Sie sich natürlich ausweisen. Das System erkennt nun, wer hinter der von ihnen gerade genutzten IP-Adresse steckt und erlaubt den Versand von Nachrichten von dieser Adresse für eine bestimmte Zeit. Sie müssen daher vor dem Versand einer Nachricht zumindest einmal ihr Postfach abgefragt haben. In der Regel ist die Freischaltung an ein Zeitlimit gebunden.

Diesen Weg unterstützt Exchange NICHT. SMTP after POP3 geht mit keiner Version von Microsoft Exchange. Ist aber nicht tragisch, da es andere Wege gibt, die zudem sicherer sind.

VPN Anbindung

Auch wenn Sie mit SMTP oder POP3 eine Anmeldung erreichen und damit die Weiterleitung sichern können, so bleibt ein Punkt noch nicht geklärt: Die Sicherheit der Anmeldung selbst. POP3 als auch SMTP nutzen "Klartext". Natürlich können auch besserer Wege genutzt werden (SSL etc.) aber meist bleibt es doch beim kleinsten gemeinsamen Nenner. Aber es gibt noch einen weiteren Weg, ein Endgerät im Internet zu authentifizieren. Mittels VPN kann ein System nicht nur sicher erkannt werden, sondern zudem werden alle Daten verschlüsselt.

Es ist z.B. möglich, dass ein Anwender mit seinem PC eine Verbindung zum Internet aufbaut und sich dann an der Firewall der Firma erneut authentifiziert. So kann die Firewall ihn als "vertrauenswürdigen" Benutzer erkennen und erlaubt den Zugang auf den internen Exchange Server, welcher dann als offenes Relay bereitsteht. Allerdings ist auch hier zu beachten, dass dieser Port von Exchange niemals direkt ohne VPN erreicht werden darf.

Diese Anbindung eignet sich übrigens auch hervorragend über die Kopplung von Exchange Servern über das Internet. Auch für die sichere Anbindung von vereinzelten Niederlassungen oder Heimarbeitern über das Internet, ist VPN eine ideale Lösung. Wenn Sie dann aber eine sichere Verbindung hergestellt haben, dann frage ich Sie, ob POP3/SMTP dann wirklich noch der gewünschte Weg ist und nicht gleich eine echte Exchange Anbindung mittels Outlook und Offline Ordner sinnvoller wäre.

Weitere Links

Zu diesem Thema habe ich keine besonderen Links. Verwandte Themen auf dieser Webseite sind: