SMTP-Relay

Wenn Sie Informationen suchen, wie sie ein offenes Relay schließen, dann gehen Sie bitte zu Relay bei Internet Mail, Relay mit Exchange 2000/2003 und Exchange 5.5. Relayschutz. Beachten Sie auch die folgenden Seiten

  • Relaykonzept - Sicherer Betrieb von Exchange als Maildrehscheibe
  • Relaysicherheit - Wann sollte ein Mailserver die Nachricht weitergeben und wann nicht ?

Alle Exchange Server in einem Active Directory Forrest sehen sich als homogene Einheit, die miteinander eine Nachrichtenplattform für das unternehmen bereitstellen. In der Welt von Exchange gibt es daher erst einmal nur bekannte authentifizierte Clients und das unsichere, fremde Internet als Kommunikationspartner.

In dieser Welt der bösen und guten Clients sind die normalen Kommunikationswege natürlich zu schützen. Ansonsten haben Spammer, Fälscher und Viren sehr einfaches Spiel. Exchange ist von Hause aus wie folgt eingestellt.

  • Sichere Organisation
    Alle Exchange Server in einer Organisationen authentifizieren sich untereinander, so dass hier sich niemand als "fremd" einschleichen kann.
  • Bekannte Teilnehmer
    Alle bekannten Clients melden sich an den Exchange Servern mit Benutzername und Kennwort an. Dies ist nicht nur zum Zugriff auf die Postfachinhalte, öffentliche Ordner und Adressbücher erforderlich, sondern auch für den Versand von Nachrichten. Damit kann natürlich auch ein Virus oder unfreundlicher Anwender massenhaft Nachrichten versenden. Allerdings ist das nicht anonym möglich, d.h. der Administrator kann über das Nachrichtentracking den urheber ermitteln.
  • Anonym und Fremd
    Alles andere ist "anonym" und nur eingehend, d.h. kein Relayehen und entsprechend behandelt, d.h. Nachrichten werden nur angenommen, wenn die Zieldomäne in den Empfängerrichtlinien gelistet ist. Alle anderen Versuche werden als Versuch eines Relaymissbrauch unterbunden. Exchange 2003 SP2 kann sogar noch die Zieladressen selbst gegen das Active Directory auf "Gültigkeit" prüfen.
  • SMTP-Connector für ausgehende Mails
    Der Weg ausgehender Nachrichten wird im Gegenzug über SMTP-Connectoren gesteuert, die meist alles zum Internet senden, es sei denn andere Connectoren legen alternative Wege für bestimmte Domänen o.ä. an.

Soweit ist Exchange sicher, restriktiv und dennoch kommunikativ eingestellt.

E2K7:Receiveconnector
Konfiguration zum Empfang von Nachrichten

Erwünschtes Relay

Viele Firmen haben aber nicht "nur" Exchange als einziges Mailsystem, sondern andere Server und Dienste müssen mitbedient werden. Damit diese nun nicht alle ihre eigene Infrastruktur etablieren müssen, stellt sich die Frage nach der Leistung von Exchange. Das zentrale Mailsystem, was Exchange in vielen Firmen darstellt, muss also zwei weitere Dienstleistungen erbringen können:

  • Ausgehendes Relay
    Es wird immer wieder Systeme im Inneren geben, die Mails nicht nur an Empfänger von Exchange senden müssen, z.B.: Gateways (Siehe EDK oder SMTP), MOM2005-Server, Scripte wie PDF2SMTP etc.) sondern auch Empfänger im Internet oder anderen Systemen im unternehmen versenden müssen. Wenn diese Systeme nicht aufwändig mit Leitwegen, Connectoren und Ausnahmen konfiguriert werden sollen, dann bietet es sich ja an, die Nachrichten an Exchange zur Zustellung zu übermitteln. Exchange muss dann diese Absender natürlich diese Verwendung erlauben.
  • Eingehendes Relay
    Umgekehrt hat eine Firma sehr oft eine Domäne aber muss Nachrichten an bestimmte Empfänger außerhalb der Exchange Organisation zustellen. Dies wird oft als "Sharing SMTP-Address Space" bezeichnet (siehe auch Verbinden von Organisationen und Weiterleitungen.

Ausgehendes Relay

Damit Exchange interne System seine Dienstleistung "Mailtransport" auch anbietet, müssen Sie als Administrator wissen, wie diese Systeme die restriktiven Begrenzungen von Exchange umgehen können ohne ein Sicherheitsloch für Spammer und Viren zu öffnen. Damit ein System Exchange als Relay zu einem anderen System verfügen kann, gibt es wie so oft im Leben mehrere Wege. Jeder hat seine individuellen Vorteile und Einschränkungen. Problematisch ist, dass nicht alle Clients die Anforderungen von Exchange unterstützen.

Verfahren Einstellen Bewertung
Host-Beschränkung
Sie können dem virtuellen SMTP-Server die IP-Adresse des Absenders als "vertraut" pflegen.

Analog könnten Sie auch ein Subnetz (z.B.: das "Servernetzwerk" berechtigen.

Die Erlaubnis ist für jedes System oder jedes Subnetz auf jedem SMTP-Server zu pflegen

In den Eigenschaften jedes virtuellen SMTP-Servers ist die Liste der Hosts und Netze zu pflegen.

In den Eigenschaften des virtuellen SMTP-Servers finden sich unter "Zugriff - Weitergabe" der Button " Weitergabe". Darunter können Sie die IP-Adressen oder Subnetze der vertrauten Server pflegen. Auch eine Pflege von Domänen ist möglich, wobei hier aber per DNS eine Auflösung IP-Adresse zu Name (ReverseDNS) möglich sein muss. Dies ist oft nicht korrekt konfiguriert.

Dies ist der einfachste und immer möglich Weg, ein System als "vertrauenswürdig" einzustufen. Allerdings hat diese Option zwei Sicherheitsprobleme:

  • IP-Adressen können "übernommen" werden
    Wer stellt sicher, dass ein so als "gut" klassifiziertes System nicht abends abgeschaltet oder gezielt außer Funktion (z.B.: Denial of Service) gesetzt wird, damit ein anderes System diese IP-Adresse hijacken und Mails versenden kann ?
  • Vertrauter Host
    Jedes Programm, was auf diesem System gestartet wird, kann Exchange als Relay verwenden. Normalweise ist es besser, wenn ein bestimmter Dienst nur das Recht erhält.

SMTP Auth
Auch über SMTP kann eine Anmeldung gefordert werden

Die Erlaubnis ist an den Benutzernamen und Kennwort gebunden und global wirksam

Ist per Default so eingestellt. Angemeldete Benutzer "dürfen" Exchange als Relay verwenden.

In den Eigenschaften des virtuellen SMTP-Servers finden sich unter "Zugriff - Weitergabe" folgendes Fenster. Hier muss die Erlaubnis für authentifizierte Benutzer aktiv sein.

Zudem muss unter "Zugriff - Authentifizierung" natürlich noch generell die Authentifizierung erlaubt sein.

Durch die Zuordnung eines Benutzers ergeben sich folgende Fakten:

  • Einfache Sperre
    Bei Missbrauch kann einfach der Benutzer gesperrt oder die Berechtigung entzogen werden. Alle anderen Dienste bleiben unbeeinträchtigt
  • getrennte Abrechnung
    Das Volumen kann ganz gezielt auf den jeweiligen Verursacher zurückgeführt werden
  • Unsicheres Kennwort
    Wird die Verbindung nicht zugleich per SSL verschlüsselt, wird das Kennwort relativ unsicher (base64-codiert) übertragen und kann damit abgehört werden.
  • SMTP Auth Support
    Das absendende System muss SMTP-AUTH unterstützen. Sehr viele einfache Programme erlauben diese Konfiguration leider nicht.
  • Kennwortrichtlinien
    Natürlich ist es schwer für solche Konten eine regelmäßige Änderung des Kennworts zu erzwingen.
  • Umgebung von IMF
    Der Exchange Spamschutz bezieht sich nur auf "anonyme" Verbindungen. Sobald eine Mail authentifiziert versendet wird, muss diese keinen Filter mehr passieren.

Weiterleitung über Objekte

Sie können in Exchange die Empfänger natürlich auch lokal Pflegen und mit einer Weiterleitung ausstatten. Der interne Sender sendet die Nachricht dann nicht direkt in das Internet oder andere Systeme, sondern z.B. an Kontakte in ihrer Organisation, hinter denen die reale Adresse abgespeichert ist.

Details zur Einrichtung der verschiedenen Wege finden Sie auf Weiterleitungen

Dieses Funktion erlaubt eine gesteuerte Weiterleitung nach Zielen und eignet sich bei bekannten Zieladressen.

  • Das interne System kann damit nicht das gesamte Internet erreichen sondern nur konfigurierte Empfänger.
  • Besondere Einstellungen auf dem Absendersystem sind damit nicht erforderlich, solange das System jede Mal an einen beliebigen Exchange Server der Organisation sendet.
  • Die Nachrichten können über das  Nachrichtentracking verfolgt werden.

Weiterleitung über Connector

Eine weitere Möglichkeit ein Relay zu erlauben ist die Konfiguration über den SMTP-Connector. Sie können z.B.: für einen bestimmte Domäne ein Relay erlauben. Dies ist z.B.: für Funktionsdomänen wie fax.firma.de oder sms.firma.de sinnvoll, an die jeder auch über Exchange als Relay senden soll. Dazu müssen Sie nur einen entsprechenden SMTP-Connector mit passendem Adressraum einrichten und die kleine Checkbox am unteren Rand aktivieren:

Analog zur Weiterlung für bestimmte Empfänger erlaubt diese Einstellung eine Weiterleitung für eine komplette Domäne.

Eine gesonderte Anmeldung oder Pflege von IP-Adressen der legitimen Absendersysteme ist nicht mehr erforderlich. Solch eine Einstellung öffnet natürlich dann diesen Weg auch für Viren und Werbung und ist daher genau zu prüfen.

Offenes Relay für alle Systeme, die Exchange erreichen können

Exchange können Sie über zwei Funktionen zum offenen Relay machen:

  • pro SMTP-Server
    In den Eigenschaften des virtuellen SMTP-Servers finden sich unter "Zugriff - Weitergabe" folgendes Fenster. Hier können Sie jede IP-Adresse die Weitergabe erlauben
  • SMTP-Connector
    Sie könnten im SMTP-Connector für den Adressraum "*" die Weitergabe erlauben. Damit ist die Einstellung für die gesamte Organisation gültig.

Von solche einer Einstellung ist komplett abzuraten, da ein offenes Relay eine Einladung für Schadprogramme aber auch sonstigen Missbrauch ist. Selbst wenn der Exchange Server nicht direkt aus dem Internet erreichbar ist und damit der Verursacher anscheinend nur von innen kommen kann, so ist das Risiko bei einer späteren Umstellung oder z.B. Anbindung von Lieferanten und Kunden einfach zu groß.

Die aus heutiger Sicht beste Option ist der Versand über die Anmeldung an Exchange. Durch die Nutzung von SMTP-AUTH wird zudem der Intelligent Message Filter umgangen, so dass auch Systemmeldungen, Meldung aus SAP oder anderen Anwendungen zuverlässig zugestellt werden.

Aber auch wenn Exchange ein Absendersystem akzeptiert, so muss der Absender dennoch sorge dafür tragen, dass bei einem Fehler auch die unzustellbarkeit einem Benutzer bekannt wird. Es wäre nun fatal eben genau diese unzustellbarkeit ebenfalls an Exchange zu senden, da Sie auch fehlschlagen könnte. In den Zeiten, zu denen Exchange nicht verfügbar ist, z.B.: bei der Installation eines Service Pack, sollten diese Systeme eine Warteschlange pflegen oder zumindest den Fehlversuch anderweitig protokollieren.

Eingehendes Relay

Damit Exchange eingehende Nachrichten überhaupt annimmt, muss Exchange für die Empfängerdomänen für zuständig erklärt werden. Dies erfolgt am einfachsten über die Empfängerrichtlinien. Damit nimmt Exchange die Nachrichten schon einmal an. Exchange versucht dann den Empfänger innerhalb der Organisation zu ermitteln und wenn dies nicht gelingt wird eine unzustellbarkeit erstellt oder die Mail entsprechend der Konfiguration weiter geleitet. Und genau das muss man einfach nur passend einstellen.

Welche Wege hierfür möglich sind, finden Sie auf Weiterleitungen.

Weitere Links