Exchange 5.5. Relayschutz

Sie finden hier die notwendigen Informationen, um den SMTP Connector von Exchange 5.5 weitestgehend sicher gegen den Missbrauch als Relay zu machen. Die hier gemachte Konfiguration verhindert, dass anonyme Clients aus dem Internet ihren Mailserver als Relay nutzen. Dies kann daher auch ihre Niederlassungen oder Außendienstmitarbeiter betreffen. Weitere Informationen finden Sie dazu auch bei POP3/IMAP4 unterwegs.

Relayschutz mit Exchange 5.5

Je aktueller die Version von Exchange ist, desto reichhaltiger sind die Möglichkeiten von Exchange, die Funktion des SMTP-Relay zu steuern. Exchange 4.0 ist eigentlich nicht relaysicher zu bekommen. Exchange 5.0 kann über Änderungen in der Registrierung ansatzweise gesichert werden. Der Weg zum Schutz hier geht über ein relaysicheres SMTP-Relay, welches zwischen Exchange und Internet gestellt wird. Erst mit Exchange 5.5 und da auch am besten mit Service Pack 3 sind umfangreiche Einstellungen zum Schutz gegen Missbrauch umzusetzen.

Exchange ist es erst mal egal, aus welcher Richtung eine Verbindung aufgebaut wird. Ob die Verbindung von einem Mailserver aus dem Internet kommt, um eine Nachricht zuzustellen, oder von einem POP3/SMTP-Client aus dem Internet oder einem System im internen LAN macht für Exchange 5.x keinen unterschied. Mit Exchange 2000 können Sie beim Einsatz mehrerer Netzwerkkarten verschiedene SMTP-Instanzen einsetzen. Die Relayschutz Möglichkeiten von Exchange beschränken sich auf folgende drei Punkte

  • Definition der eingehenden Domains
    Im Internet Mail Connector kann eingestellt werden, welche Domains angenommen werden. Ich rate hierzu, generell nur eingehend zu aktivieren. Damit ist man 100% relaysicher, allerdings kann von Außen dann kein Mitarbeiter seine Mails per SMTP über unseren Exchange Server senden. Das muss er aber auch nicht, dazu kann er den Mailserver des Internetproviders nutzen.
  • Definition der IP-Adresse
    Es können IP-Adressen festgelegt werden, welcher Exchange als Relay nutzen dürfen. Hiermit können z.B. interne Mailserver, die nur per SMTP kommunizieren Exchange als Brücke in das Internet nutzen. Denkbar ist damit auch, dass interne Anwender per POP3/SMTP mit Exchange arbeiten
  • Authentifizierte Benutzer
    Exchange kann angewiesen werden, Nachrichten von all jenen Systemen weiterzuleiten, Sie sich mit Benutzernamen und Kennwort angemeldet haben 

Diese Funktionen sind für einen Mailserver im unternehmen in der Regel vollkommen ausreichend, schließlich nutzen die Mitarbeiter intern hoffentlich nicht POP3/SMTP, da Outlook sehr viel mehr Möglichkeiten bietet.

Starten Sie ihren Exchange 5.5. Administrator und gehen Sie in ihrem Standort unter Konfiguration auf Verbindungen und wählen Sie dort ihren Internet Mail Dienst aus. Klicken Sie doppelt darauf, um die Eigenschaften zu bearbeiten. Die komplette Konfiguration im Bezug auf Relay erfolgt in der Karteikarte "Routing". Diese sieht z.B. so aus.

Mit dieser Einstellung ist ihr Exchange 5.5 relaysicher. Exchange nimmt im Gegensatz zu Exchange 2000 damit zwar jede Mail erst mal an, aber wenn es im eigenen globalen Adressbuch keinen passenden Empfänger gibt, wird die Mail als unzustellbar verworfen. Optional können Sie auf der Karteikarte "Internet Mail" das Postfach des Administrators eintragen und über den Button "Benachrichtigen" sich solche Fälle berichten lassen. Eine unzustellbarkeitsmelung geht aber in jedem Fall an den Absender. ärgerlich nur, wenn dieser auch gefälscht war. Dann helfen nur Drittprogramme wie z.B. InterScan SMTP von TrendMicro, mit dem man eine solche unzustellbarkeitsnachricht einfach als "Virus" deklariert und damit filtert.

Wenn Sie mehrere Domains haben und einige davon nicht auf ihrem Exchange Server sind, dann sollten Sie Die Option derart ändern, dass je Domäne ein Routing eingerichtet wird. Hier sehen Sie, wie dies aussehen kann, wenn ihre Exchange Server nicht nur zwei Domänen annimmt, sondern z.B.: die Domäne "carius.de" den Server als Relay nutzen darf und die Domäne "netatwork-gmbh.de" umgeschrieben wird (Damit ersparen wir uns bei jedem Empfänger die doppelte Pflege von SMTP-Adressen. Natürlich ist der Eintrag für "carius.de" nur auf diesem Bild zu sehen und nicht in Realität vorhanden, da sonst jeder den Absender fälschen und den Server als Relay nutzen kann.

Interessant wird nun, dass der Button "Routingbeschränkungen" verfügbar geworden ist, über den nun die feineren Einstellungen für Clients möglich sind.

Hier könnten Sie nun sowohl autorisierte Benutzer, IP-Adressen von Clients oder eine Schnittstelle des Servers explizit für Relay freigeben. So könnte ein Exchange Server z.B. zwei Netzwerkkarten haben und die interne (Hier 192.168.100.2) ist für die Nutzung als Relay freigegeben.. Hier können Sie auch bestimmte Adressen ausschließen. Dies eignet sich aber nur für die Sperrung von internen Systemen, denn sie können nie alle Spammer aus dem Internet hier eintragen.

Eine Besonderheit kommt dem Feld "Hosts und Clients mit folgenden IP-Adressen" zu. Wenn Sie diese Checkbox wie angezeigt aktivieren aber das Feld darunter leer lassen, dann lehnt ihr Exchange 5.5 Server eingehende Mails an unzustellbar Absender schon beim Empfang ab. Dies ist aber eine undokumentierte Funktion und muss nicht immer so bestehen bleiben. Aber ein Schaden entsteht keiner, wenn Exchange dieses Verhalten bei einem Update nicht mehr hat. Nur dass dann alle Nachrichten wieder angenommen und mit einer unzustellbarkeit versendet werden.

Aber auch hier noch mal: Exchange 5.5. kann kein SMTP after POP sondern nur authentifizierte SMTP-Verbindungen, was aber nicht alle Clients unterstützen. Und auch von intern sollten Sie genau überlegen, ob jemand ohne den MTA und Store von Exchange direkt etwas in das Internet senden dürfen muss. Weitere Informationen für die sichere Anbindung von Clients finden Sie dazu auch bei POP3/IMAP4 unterwegs.

Problem mit IMCEA-Adressen

Damit auch etwas "fremde" Adressen per SMTP übertragen werden können kennt Exchange eine "Erweiterte ADressierung". Diese erkennt man am Text "IMCEA" am Anfang der Adresse. Leider konnte Exchange bis SP3 durch solche Adressen als Relay missbraucht werden.

Weitere Links