Exchange NOTFALL - Relaymissbrauch
Vermutlich merken Sie nicht mal sofort, wenn ihr Server als Relay missbraucht wird. Wahrscheinlich machen Sie erboste Anwender und Administratoren darauf aufmerksam, dass ihr Server die Quelle unerwünschter Werbung ist.
Auf jeden Fall müssen sie schnell reagieren, da es sonst noch teuerer wird:
- Verbindung kappen
Unabhängig wie wichtig ihre Internet Verbindung ist. Sie muss auch mal 1-2 Stunden "offline" verkraften. Vermutlich ist die Leitung und ihre Server durch das "Versenden" sowieso beschäftigt, dass die nutzbare Bandbreite viel geringer ist.
Wenn Sie ihre System "kennen" oder eine Firewall haben, dann würde eine Blockade von Post 25/TCP ausreichen. Aber wer garantiert ihnen, dass ein offenes Relay nur der Anfang des Übels ist und nicht andere Dienste aufgrund falscher Konfiguration oder Konzeption nicht ebenso korrumpiert sind ?
Den Router zum Internet sollten Sie nicht abschalten, da - Mitarbeiter informieren
Das interne Mailsystem sollte, wenn auch langsamer, noch funktionieren. Informieren Sie ihre Mitarbeiter, dass im Moment kein Empfang oder Versand von Nachrichten von und zum Internet möglich ist und frühere Nachrichten eventuell neu gesendet werden müssen - Leeren der Queues
Um vom Server und den Festplatten die Last zu nehmen, müssen wie die Datenbereiche leeren, in denen die noch nicht versandten Nachrichten liegen. Das Löschen und neu Anlegen des SMTP-Connectors hilft dabei nicht !!.
Sie können die Queues mit den Hilfsmitteln des Exchange 5.5 Administrators oder dem Exchange 2000 System Manager anzeigen und leeren, aber das ist bei vielen tausend Einträgen sehr mühsam. Daher kann es auch sinnvoll sein, die Mails über die Smarthost Einstellung zu einem anderen internen Server zu senden, der diese einfach löscht oder archiviert.
Beide Exchange Versionen werden Mails löschen, die älter als drei Tage sind. Da sie aber keine drei Tage "offline" sein wollen, können Sie diesen Wert entsprechend herunter setzen, um die Nachrichten löschen zu lassen. - Sichern von Exchange
Nun ist es an der Zeit, den Exchange Server zu sichern, dass er nicht mehr als Relay missbraucht werden kann. dazu gibt es zwei eigene Informationsseiten:
Exchange 2000 Relayschutz
Exchange 5.5 Relayschutz - Testen
Auch wenn Sie sich sehr sicher sind, dass ihr Server nun gegen den Missbrauch gefeit ist, so können Sie sich erst dann sicher sein, wenn Sie dies auch kontrolliert haben. Leider gibt es keine fertigen Testprogramme, um "Relaysicherheit" zu testen. Also bleiben nur einige eigene Teste mit Telnet (siehe Mail im Internet) oder entsprechende Webseiten. Siehe auch Relay bei Internet Mail testen und Relaysicherheit. - Online Again
Wenn sie wirklich sicher sind, dann können Sie die Leitung wieder anstöpseln, die Blockaden lösen und die notwendigen Dienste starten. Aber kontrollieren Sie regelmäßig ihre Protokolle. Exchange erlaubt die Auswertung über Performancecounter. Sie können auf dem Server einfach das Programm PERFMON.EXE laufen lassen und z.B. die Warteschlangen oder die Anzahl der Mails pro Zeiteinheit zu überwachen und bei Überschreitung von Grenzwerten Alarm schlagen.
Nutzen Sie auf jeden Fall auch die Möglichkeit, ihre Internet Anbindung durch einen Fachbetrieb überprüfen zu lassen.
Weitere Links
-
Relaysicherheit
Wann sollte ein Mailserver die Nachricht weitergeben und wann nicht ? -
Relaykonzept
Sicherer Betrieb von Exchange als Maildrehscheibe - Receiveconnector - Relayverhalten für Exchange 2007/2010 einstellen
- Exchange 2000 Relayverhalten einstellen
- Exchange 5.5 Relayverhalten einstellen
- Relay bei Internet Mail testen