Relay bei Internet Mail
Da haben Sie nun ihren Mailserver an das Internet angeschlossen und freuen sich darüber, dass alles so wunderbar funktioniert und auch noch schnell ist. Und meist dauert es gar nicht lange, und ein dritter freut sich auch. Weil ihr Mailsystem allzu kommunikationsfreudig ist und jede Nachricht, die an es gesendet wird, annimmt und höflicherweise falsche Zustellungen wieder weg sendet. Ihr System wird als Relay missbraucht und das verärgert Sie, weil es Kosten verursacht und es blockiert sie, weil andere Provider sie sehr schnell als "unsicher" sperren.
Sieh suchen Informationen, wie sie Relay mit Exchange verhindern können ?
-
Relaysicherheit
Wann sollte ein Mailserver die Nachricht weitergeben und wann nicht ? -
Relaykonzept
Sicherer Betrieb von Exchange als Maildrehscheibe - Receiveconnector - Relayverhalten für Exchange 2007/2010 einstellen
- Exchange 2000 Relayverhalten einstellen
- Exchange 5.5 Relayverhalten einstellen
- Relay bei Internet Mail testen
- Exchange NOTFALL - Relaymissbrauch
Relay-Verhalten
Stellen Sie sich vor, der Postbote irrt und wirft einen Brief bei ihnen ein, der nicht frankiert ist. Was tun sie in diesem Fall ?.
- Sie könnten den Brief wegwerfen
Aus dem Kostenaspekt wäre das das beste und schnellste. Schon schlimm genug, dass Sie die Nachricht angenommen haben, was auch schon Bandbreite, Zeit und Speicherplatz kostet. Aber das machen wohl die wenigsten. Jemand anderes könnte ja dringend auf das Schreiben warten. - Sie werfen den Brief wieder in den Briefkarten
Die Post wird diesen noch mal einsortieren und dann hoffentlich richtig zustellen. Nur wo ist im Internet das Postamt ?. Es gibt keines. Also fällt das auch weg - Einige geben Ihn beim nächsten mal dem Boten wieder mit
Das funktioniert aber nicht beim Internet, denn es kommt kein Bote vorbei. - Sie leiten den Brief direkt an den richtigen Empfänger weiter.
Würden Sie das tun ? einen unbekannten Brief neu frankieren und wegsenden ?. Das wäre edel und im Internet auch möglich, aber das ist vielleicht genau das, was der "Falschzusteller" wollte. Das ist das klassische Relay. Alle zwielichtigen Absender freuen Sich über ihre Dienstleistung. Der Absender spart Bandbreite und Kosten, verschleiert seine Herkunft und ihr System landen ruck zuck auf diversen Sperrlisten. Das muss verhindert werden. - Annahme verweigern
Das ist in unserem Fall das Ziel. Wir sollten keine Briefe annehmen, die gar nicht erst für uns gedacht sind. Wir sparen die Bandbreite und brauchen nichts anzunehmen, was dann eh nur im Mülleimer landen würde.
Ursachen für Relaymissbrauch
Warum machen einige Absender so etwas ?
- Geld sparen
Wenn ich einen Brief an 100 Leute senden will, dann kann ich als Absender 100 Verbindungen zu den verschiedenen Zielen aufbauen und die Nachrichten senden. Aber das kostet meine Zeit, mein Geld. Das kann ich sparen, wenn ich die Mail bei Ihnen unterschiebe und sie den Versand übernehmen - Zeit sparen
Wenn ich mit meinem Modem eine 1 MByte Datei senden will, dann dauert das einige Minuten. Bei 100 Zielen entsprechend länger. Also auch hier sende ich die Mail einmal an ihr Mailsystem und dieses übernimmt die Verteilung - Verbergen der Herkunft
Das ist der wichtigste Aspekt. Normaler Internetanwender haben in der Regel kein Interesse daran, ihre Nachrichten über "Umwege" zu senden. Schließlich dauert es länger und warum sollten wir wichtige Nachrichten über unbekannte Mailserver leiten ?
Aber es gibt dann noch all die Firmen, welche ungefragt möglichst viele Postfächer mit Werbung und anderen zweideutigen Angeboten beschicken wollen. Und diese haben ein großes Interesse daran, über Umwege zu geben. Damit verschleiern sie ihre eigene Herkunft und machen es Filtersoftware und Sperrlisten schwer
Damit haben nun sowohl Provider als auch wir als Empfänger die leidige Pflicht, unserer Systeme so zu konfigurieren, nur noch die Nachrichten anzunehmen, die für uns oder uns nachgeschaltete Systeme sind oder nur für die Systeme eine Weiterleitung zu erlauben, die von uns bekannten Adressen kommen.
Sinnvoller Einsatz von Relays
Die Funktion Relay war in den Anfangszeiten des Internet eine nützliche und teilweise sogar notwendige Einrichtung. Wenn Leitungen nicht stabil waren, konnte eine Mail so von Relay zu Relay übertragen werden, bis sie am Ziel angekommen ist. Heute beschränkt sich das Relay wenige Funktionen im Internet:
- Ausgehendes Relay
Sie als Absender müssen speziell bei Wählverbindungen ihre Nachrichten nicht an das Ziel zustellen, sondern leiten Sie an den Provider zur Weiterleitung. Provider bieten diesen Dienst gerne ihren Kunden an und können Sich sehr gut gegen Missbrauch schützen, da sie sowohl ihre eigenen IP-Adressbereiche als auch die autorisierten Anwender oder zumindest deren Rufnummer können (-> Rechnungsstellung). - Eingehendes Relay
Der Provider spielt für Sie Zwischenspeicher, wenn Ihr Mailsystem nicht verfügbar sein sollte. (Secondary MX Eintrag) Auch diese Funktion liefert der Provider und sichert sich gegen Missbrauch in dem er seinem Mailserver die Domänenname definiert, welcher er akzeptieren soll. - Relay als Firewall
Beim Übergang zwischen Internet und Intranet wird häufig ein Relay eingesetzt, welches eine direkte Kommunikation zwischen Innen und Außen unterbindet und nebenbei auch Nachrichten filtern kann.
Hier sind Sie gefragt, ihre Firewall entsprechend zu konfigurieren, damit nur Nachrichten von innen nach außen oder außen nach innen gelangen, aber nie von außen nach außen.
Schutz gegen Missbrauch als Relay
Niemand möchte ungewollt als Relay missbraucht werden. Daher sollten Sie ihre Mailsystem vor dem ersten Anschluss an das Internet korrekt konfiguriert haben und weiterhin gleich nach dem Anschluss selbst einen Test durchführen. Entsprechende Links finden Sie am Ende dieser Seite
Exchange 5.5
Exchange 5.5. ist mit dem Service Pack 2 und besser recht gut zu sichern. Frühere Versionen sind hingegen nicht sehr einfach zu sichern, was vielfach eine Konfiguration über REGEDIT bedeutet. Wenn Sie ihren Exchange Server nicht auf die Version 5.5. SP3 und neuer Updaten wollen, sollten Sie über ein eigenes Relay vor dem eigentlichen Exchange Server nachdenken. für alle anderen gibt es eine einfache Beschreibung für einfache Umfelder: So mache ich Exchange 5.5 relayfest.
Exchange 2000
Exchange 2000 ist von Hause aus eigentlich sicher gegen den Missbrauch als Relay. Aber durch falsche Konfiguration ist natürlich auch dieses System zu durchlöchern. Standardmäßig akzeptiert Exchange 2000 alle Mails, aber wenn diese über den Globalen Katalog nicht auflösbar sind, sind diese unzustellbar.
Relayschutz über Drittsysteme
Ab einer bestimmten Firmengröße oder Mailaufkommen werden in vielen Firmen etwas aufwändigere Anbindungen mittels Firewall an das Internet vorgenommen. Hierbei gehört zu jeder Firewallkonzeption auch eine SMTP-Relaykomponente mit hinzu.
Diese sorgt neben dem reinen Verhindern von Relay auch für eine Kontrolle der Datenströme, optional auch für Filter gegen Viren, Spam und andere ärgernisse. Entsprechende Drittprogramme wie Trend Micro Viruswall SMTP arbeiten als sehr sicheres SMTP-Relay mit Zusatznutzen. Diese Funktion kann natürlich auch ein Windows SMTP-Dienst, ein Linux SENDMAIL oder QMAIL oder andere Programme übernehmen.
Einige sind derart aufgewertet, dass Sie im Internet verfügbare Listen von bekannten Spammern oder Filterlisten auf bestimmte Stichworte unterstützen, um die Belastung durch Spam. einzuschränken.
Relay und NAT
Eingehendes NAT ist kein Schutz gegen Relay Missbrauch. Daher ist eine Firewall, die auf NAT basiert auch kein Schutz gegen diese Art Missbrauch oder Einbruch. NAT ist auch kein Schutz gegen Angriffe auf Exchange durch absichtlich falsche Pakete. Auch wenn Exchange hierzu recht robust ist, ist bei einer guten Anbindung immer ein SMTP-Proxy oder ein Relay zwischen Internet und Exchange geschaltet.
Relay testen
Informationen, wie Sie ihren Server auf Relay testen finden Sie unter MSXFAQ - Relay bei Internet Mail testen.
Relaymissbrauch mit POP3 Saugern !
Auch wenn Sie eine Wählverbindung haben und ihre Nachrichten per POP3 aus einem Sammelpostfach holen, kann ihr Mailsystem als Relay missbraucht werden. Allerdings nur indirekt. Einige POP3-Sammelprogramme haben hier eventuell eine Schwäche. Siehe auch POP3 abholen.
Weitere Links
- SMTP-Relay
- Q196626 XFOR: Restricting Routing in the Internet Mail Service
- Q199656 XIMS: How to Stop Spam Mail Messages from using IMS Relay Agent
- Q193922 XFOR: Preventing the Internet Mail Service From Relaying UCE
- Q245465 Configuring Message Filtering on the Internet Mail Service
- Q249266 XFOR: Online Resources für Spam Mail Testing and Information
- Q255695 XCON: Do Not Reroute Incoming SMTP Mail Allows Relay as NDR
- Q260973 XCON: SMTP Domains für Inbound and Relay in Exchange 2000
- Q267856 Implementing SMTP Relaying Restrictions in Conjunction w/ POP3
- Q279860 XFOR: How to Stop IMS from Relaying Junk E-mail
- Q290808 XCON: NDR with Error 0x800CCC79 When You Send SMTP Mail from OE
- Q295164 XCON: SMTP Clients Receive Relaying Prohibited Error Message
- MSX 5.5 bis SP1
http://support.Microsoft.com/support/kb/articles/Q193/9/22.ASP
MSX 5.5 ab SP1:http://support.Microsoft.com/support/kb/articles/Q199/6/56.ASP - "Is Your Exchange Server Relay-Secure?" http://www.Microsoft.com/technet/exchange/relay.asp
-
www.antivirus.com
Trend Micro Viruswall SMTP mit eManager filtert Viren, bestimmte Anlagen, Skripte, erlaubt das Steuern von Nachrichten nach Größe und anderen Regel. SMTP-Scanner bieten auch alle anderen großen Virenschutzhersteller. - Relay http://gethelp.devx.com/techtips/exo_pro/10min/10min0200.asp
- RFC 2505 Anti-Spam Recommendations für SMTP MTAs
-
Application Note: How to secure your mail system against third-party relay
http://www.mail-abuse.com/an_sec3rdparty.html - RFC 2635 - "Don't spew"
- RFC 2554 - the SMTP-AUTH specification.
- RIPE-206 "Good Practice für Combating unsolicited Bulk Email"
- Postie. free SMTP Sendmail WIN32 oder Linux etc
http://www.infradig.com - Harker's sendmail References Page
http://www.harker.com/sendmail/sendmail-ref-body.html - Drekt senden mit RDNS-Eintrag
http://www.inet-service.com/rdns/rdns.htm -
http://www.esbk.net/doc/Der%20T-Online%20SMPT%20Relay%20Server.pdf
Anbindung an T-Online. -
http://postfix.state-of-mind.de/patrick.koetter/mailrelay/
Konfiguration von PostFix als Relay vor Exchange