Relay bei Internet Mail

Da haben Sie nun ihren Mailserver an das Internet angeschlossen und freuen sich darüber, dass alles so wunderbar funktioniert und auch noch schnell ist. Und meist dauert es gar nicht lange, und ein dritter freut sich auch. Weil ihr Mailsystem allzu kommunikationsfreudig ist und jede Nachricht, die an es gesendet wird, annimmt und höflicherweise falsche Zustellungen wieder weg sendet. Ihr System wird als Relay missbraucht und das verärgert Sie, weil es Kosten verursacht und es blockiert sie, weil andere Provider sie sehr schnell als "unsicher" sperren.

Sieh suchen Informationen, wie sie Relay mit Exchange verhindern können ? 

Relay-Verhalten

Stellen Sie sich vor, der Postbote irrt und wirft einen Brief bei ihnen ein, der nicht frankiert ist. Was tun sie in diesem Fall ?. 

  • Sie könnten den Brief wegwerfen
    Aus dem Kostenaspekt wäre das das beste und schnellste. Schon schlimm genug, dass Sie die Nachricht angenommen haben, was auch schon Bandbreite, Zeit und Speicherplatz kostet. Aber das machen wohl die wenigsten. Jemand anderes könnte ja dringend auf das Schreiben warten.
  • Sie werfen den Brief wieder in den Briefkarten
    Die Post wird diesen noch mal einsortieren und dann hoffentlich richtig zustellen. Nur wo ist im Internet das Postamt ?. Es gibt keines. Also fällt das auch weg 
  • Einige geben Ihn  beim nächsten mal dem Boten wieder mit
    Das funktioniert aber nicht beim Internet, denn es kommt kein Bote vorbei.
  • Sie leiten den Brief direkt an den richtigen Empfänger weiter.
    Würden Sie das tun ? einen unbekannten Brief neu frankieren und wegsenden ?.  Das wäre edel und im Internet auch möglich, aber das ist vielleicht genau das, was der "Falschzusteller" wollte. Das ist das klassische Relay. Alle zwielichtigen Absender freuen Sich über ihre Dienstleistung. Der Absender spart Bandbreite und Kosten, verschleiert seine Herkunft und ihr System landen ruck zuck auf diversen Sperrlisten. Das muss verhindert werden.
  • Annahme verweigern
    Das ist in unserem Fall das Ziel. Wir sollten keine Briefe annehmen, die gar nicht erst für uns gedacht sind. Wir sparen die Bandbreite und brauchen nichts anzunehmen, was dann eh nur im Mülleimer landen würde.

Ursachen für Relaymissbrauch

Warum machen einige Absender so etwas ?

  • Geld sparen
    Wenn ich einen Brief an 100 Leute senden will, dann kann ich als Absender 100 Verbindungen zu den verschiedenen Zielen aufbauen und die Nachrichten senden. Aber das kostet meine Zeit, mein Geld. Das kann ich sparen, wenn ich die Mail  bei Ihnen unterschiebe und sie den Versand übernehmen
  • Zeit sparen
    Wenn ich mit meinem Modem eine 1 MByte Datei senden will, dann dauert das einige Minuten. Bei 100 Zielen entsprechend länger. Also auch hier sende ich die Mail einmal an ihr Mailsystem und dieses übernimmt die Verteilung
  • Verbergen der Herkunft
    Das ist der wichtigste Aspekt. Normaler Internetanwender haben in der Regel kein Interesse daran, ihre Nachrichten über "Umwege" zu senden. Schließlich dauert es länger und warum sollten wir wichtige Nachrichten über unbekannte Mailserver leiten ?
    Aber es gibt dann noch all die Firmen, welche ungefragt möglichst viele Postfächer mit Werbung und anderen zweideutigen Angeboten beschicken wollen. Und diese haben ein großes Interesse daran, über Umwege zu geben. Damit verschleiern sie ihre eigene Herkunft und machen es Filtersoftware und Sperrlisten schwer

Damit haben nun sowohl Provider als auch wir als Empfänger die leidige Pflicht, unserer Systeme so zu konfigurieren, nur noch die Nachrichten anzunehmen, die für uns oder uns nachgeschaltete Systeme sind oder nur für die Systeme eine Weiterleitung zu erlauben, die von uns bekannten Adressen kommen.

Sinnvoller Einsatz von Relays

Die Funktion Relay war in den Anfangszeiten des Internet eine nützliche und teilweise sogar notwendige Einrichtung. Wenn Leitungen nicht stabil waren, konnte eine Mail so von Relay zu Relay übertragen werden, bis sie am Ziel angekommen ist. Heute beschränkt sich das Relay wenige Funktionen im Internet:

  • Ausgehendes Relay
    Sie als Absender müssen speziell bei Wählverbindungen ihre Nachrichten nicht an das Ziel zustellen, sondern leiten Sie an den Provider zur Weiterleitung. Provider bieten diesen Dienst gerne ihren Kunden an und können Sich sehr gut gegen Missbrauch schützen, da sie sowohl ihre eigenen IP-Adressbereiche als auch die autorisierten Anwender oder zumindest deren Rufnummer können (-> Rechnungsstellung).
  • Eingehendes Relay
    Der Provider spielt für Sie Zwischenspeicher, wenn Ihr Mailsystem nicht verfügbar sein sollte. (Secondary MX Eintrag) Auch diese Funktion liefert der Provider und sichert sich gegen Missbrauch in dem er seinem Mailserver die Domänenname definiert, welcher er akzeptieren soll.
  • Relay als Firewall
    Beim Übergang zwischen Internet und Intranet wird häufig ein Relay eingesetzt, welches eine direkte Kommunikation zwischen Innen und Außen unterbindet und nebenbei auch Nachrichten filtern kann.
    Hier sind Sie gefragt, ihre Firewall entsprechend zu konfigurieren, damit nur Nachrichten von innen nach außen oder außen nach innen gelangen, aber nie von außen nach außen.

Schutz gegen Missbrauch als Relay

Niemand möchte ungewollt als Relay missbraucht werden. Daher sollten Sie ihre Mailsystem vor dem ersten Anschluss an das Internet korrekt konfiguriert haben und weiterhin gleich nach dem Anschluss selbst einen Test durchführen. Entsprechende Links finden Sie am Ende dieser Seite

Exchange 5.5

Exchange 5.5. ist mit dem Service Pack 2 und besser recht gut zu sichern. Frühere Versionen sind hingegen nicht sehr einfach zu sichern, was vielfach eine Konfiguration über REGEDIT bedeutet. Wenn Sie ihren Exchange Server nicht auf die Version 5.5. SP3 und neuer Updaten wollen, sollten Sie über ein eigenes Relay vor dem eigentlichen Exchange Server nachdenken. für alle anderen gibt es eine einfache Beschreibung für einfache Umfelder: So mache ich Exchange 5.5 relayfest.

Exchange 2000

Exchange 2000 ist von Hause aus eigentlich sicher gegen den Missbrauch als Relay. Aber durch falsche Konfiguration ist natürlich auch dieses System zu durchlöchern. Standardmäßig akzeptiert Exchange 2000 alle Mails, aber wenn diese über den Globalen Katalog nicht auflösbar sind, sind diese unzustellbar.

Relayschutz über Drittsysteme

Ab einer bestimmten Firmengröße oder Mailaufkommen werden in vielen Firmen etwas aufwändigere Anbindungen mittels Firewall an das Internet vorgenommen. Hierbei gehört zu jeder Firewallkonzeption auch eine SMTP-Relaykomponente mit hinzu.

Diese sorgt neben dem reinen Verhindern von Relay auch für eine Kontrolle der Datenströme, optional auch für Filter gegen Viren, Spam und andere ärgernisse. Entsprechende Drittprogramme wie Trend Micro Viruswall SMTP arbeiten als sehr sicheres SMTP-Relay mit Zusatznutzen. Diese Funktion kann natürlich auch ein Windows SMTP-Dienst, ein Linux SENDMAIL oder QMAIL oder andere Programme übernehmen.

Einige sind derart aufgewertet, dass Sie im Internet verfügbare Listen von bekannten Spammern oder Filterlisten auf bestimmte Stichworte unterstützen, um die Belastung durch Spam. einzuschränken.

Relay und NAT

Eingehendes NAT ist kein Schutz gegen Relay Missbrauch. Daher ist eine Firewall, die auf NAT basiert auch kein Schutz gegen diese Art Missbrauch oder Einbruch. NAT ist auch kein Schutz gegen Angriffe auf Exchange durch absichtlich falsche Pakete. Auch wenn Exchange hierzu recht robust ist, ist bei einer guten Anbindung immer ein SMTP-Proxy oder ein Relay zwischen Internet und Exchange geschaltet.

Relay testen

Informationen, wie Sie ihren Server auf Relay testen finden Sie unter MSXFAQ - Relay bei Internet Mail testen.

Relaymissbrauch mit POP3 Saugern !

Auch wenn Sie eine Wählverbindung haben und ihre Nachrichten per POP3 aus einem Sammelpostfach holen, kann ihr Mailsystem als Relay missbraucht werden. Allerdings nur indirekt. Einige POP3-Sammelprogramme haben hier eventuell eine Schwäche. Siehe auch POP3 abholen.

Weitere Links