SMTP-Relay
Wenn Sie Informationen suchen, wie sie ein offenes Relay schließen, dann gehen Sie bitte zu Relay bei Internet Mail, Relay mit Exchange 2000/2003 und Exchange 5.5. Relayschutz. Beachten Sie auch die folgenden Seiten
- Relaykonzept - Sicherer Betrieb von Exchange als Maildrehscheibe
- Relaysicherheit - Wann sollte ein Mailserver die Nachricht weitergeben und wann nicht ?
- Receiveconnector - Exchange 2007 und neuer als Relay verwenden
Alle Exchange Server in einem Active Directory Forrest sehen sich als homogene Einheit, die miteinander eine Nachrichtenplattform für das unternehmen bereitstellen. In der Welt von Exchange gibt es daher erst einmal nur bekannte authentifizierte Clients und das unsichere, fremde Internet als Kommunikationspartner.
In dieser Welt der bösen und guten Clients sind die normalen Kommunikationswege natürlich zu schützen. Ansonsten haben Spammer, Fälscher und Viren sehr einfaches Spiel. Exchange ist von Hause aus wie folgt eingestellt.
- Sichere Organisation
Alle Exchange Server in einer Organisationen authentifizieren sich untereinander, so dass hier sich niemand als "fremd" einschleichen kann. - Bekannte Teilnehmer
Alle bekannten Clients melden sich an den Exchange Servern mit Benutzername und Kennwort an. Dies ist nicht nur zum Zugriff auf die Postfachinhalte, öffentliche Ordner und Adressbücher erforderlich, sondern auch für den Versand von Nachrichten. Damit kann natürlich auch ein Virus oder unfreundlicher Anwender massenhaft Nachrichten versenden. Allerdings ist das nicht anonym möglich, d.h. der Administrator kann über das Nachrichtentracking den urheber ermitteln. - Anonym und Fremd
Alles andere ist "anonym" und nur eingehend, d.h. kein Relayehen und entsprechend behandelt, d.h. Nachrichten werden nur angenommen, wenn die Zieldomäne in den Empfängerrichtlinien gelistet ist. Alle anderen Versuche werden als Versuch eines Relaymissbrauch unterbunden. Exchange 2003 SP2 kann sogar noch die Zieladressen selbst gegen das Active Directory auf "Gültigkeit" prüfen. - SMTP-Connector für ausgehende Mails
Der Weg ausgehender Nachrichten wird im Gegenzug über SMTP-Connectoren gesteuert, die meist alles zum Internet senden, es sei denn andere Connectoren legen alternative Wege für bestimmte Domänen o.ä. an.
Soweit ist Exchange sicher, restriktiv und dennoch kommunikativ eingestellt.
E2K7:Receiveconnector
Konfiguration zum Empfang von Nachrichten
Erwünschtes Relay
Viele Firmen haben aber nicht "nur" Exchange als einziges Mailsystem, sondern andere Server und Dienste müssen mitbedient werden. Damit diese nun nicht alle ihre eigene Infrastruktur etablieren müssen, stellt sich die Frage nach der Leistung von Exchange. Das zentrale Mailsystem, was Exchange in vielen Firmen darstellt, muss also zwei weitere Dienstleistungen erbringen können:
- Ausgehendes Relay
Es wird immer wieder Systeme im Inneren geben, die Mails nicht nur an Empfänger von Exchange senden müssen, z.B.: Gateways (Siehe EDK oder SMTP), MOM2005-Server, Scripte wie PDF2SMTP etc.) sondern auch Empfänger im Internet oder anderen Systemen im unternehmen versenden müssen. Wenn diese Systeme nicht aufwändig mit Leitwegen, Connectoren und Ausnahmen konfiguriert werden sollen, dann bietet es sich ja an, die Nachrichten an Exchange zur Zustellung zu übermitteln. Exchange muss dann diese Absender natürlich diese Verwendung erlauben. - Eingehendes Relay
Umgekehrt hat eine Firma sehr oft eine Domäne aber muss Nachrichten an bestimmte Empfänger außerhalb der Exchange Organisation zustellen. Dies wird oft als "Sharing SMTP-Address Space" bezeichnet (siehe auch Verbinden von Organisationen und Weiterleitungen.
Ausgehendes Relay
Damit Exchange interne System seine Dienstleistung "Mailtransport" auch anbietet, müssen Sie als Administrator wissen, wie diese Systeme die restriktiven Begrenzungen von Exchange umgehen können ohne ein Sicherheitsloch für Spammer und Viren zu öffnen. Damit ein System Exchange als Relay zu einem anderen System verfügen kann, gibt es wie so oft im Leben mehrere Wege. Jeder hat seine individuellen Vorteile und Einschränkungen. Problematisch ist, dass nicht alle Clients die Anforderungen von Exchange unterstützen.
Verfahren | Einstellen | Bewertung |
---|---|---|
Host-Beschränkung Sie können dem virtuellen SMTP-Server die IP-Adresse des Absenders als "vertraut" pflegen. Analog könnten Sie auch ein Subnetz (z.B.: das "Servernetzwerk" berechtigen. Die Erlaubnis ist für jedes System oder jedes Subnetz auf jedem SMTP-Server zu pflegen |
In den Eigenschaften jedes virtuellen SMTP-Servers ist die Liste der Hosts und Netze zu pflegen. In den Eigenschaften des virtuellen SMTP-Servers finden sich unter "Zugriff - Weitergabe" der Button " Weitergabe". Darunter können Sie die IP-Adressen oder Subnetze der vertrauten Server pflegen. Auch eine Pflege von Domänen ist möglich, wobei hier aber per DNS eine Auflösung IP-Adresse zu Name (ReverseDNS) möglich sein muss. Dies ist oft nicht korrekt konfiguriert.
|
Dies ist der einfachste und immer möglich Weg, ein System als "vertrauenswürdig" einzustufen. Allerdings hat diese Option zwei Sicherheitsprobleme:
|
SMTP Auth Auch über SMTP kann eine Anmeldung gefordert werden Die Erlaubnis ist an den Benutzernamen und Kennwort gebunden und global wirksam |
Ist per Default so eingestellt. Angemeldete Benutzer "dürfen" Exchange als Relay verwenden. In den Eigenschaften des virtuellen SMTP-Servers finden sich unter "Zugriff - Weitergabe" folgendes Fenster. Hier muss die Erlaubnis für authentifizierte Benutzer aktiv sein.
Zudem muss unter "Zugriff - Authentifizierung" natürlich noch generell die Authentifizierung erlaubt sein.
|
Durch die Zuordnung eines Benutzers ergeben sich folgende Fakten:
|
Weiterleitung über Objekte |
Sie können in Exchange die Empfänger natürlich auch lokal Pflegen und mit einer Weiterleitung ausstatten. Der interne Sender sendet die Nachricht dann nicht direkt in das Internet oder andere Systeme, sondern z.B. an Kontakte in ihrer Organisation, hinter denen die reale Adresse abgespeichert ist. Details zur Einrichtung der verschiedenen Wege finden Sie auf Weiterleitungen |
Dieses Funktion erlaubt eine gesteuerte Weiterleitung nach Zielen und eignet sich bei bekannten Zieladressen.
|
Weiterleitung über Connector |
Eine weitere Möglichkeit ein Relay zu erlauben ist die Konfiguration über den SMTP-Connector. Sie können z.B.: für einen bestimmte Domäne ein Relay erlauben. Dies ist z.B.: für Funktionsdomänen wie fax.firma.de oder sms.firma.de sinnvoll, an die jeder auch über Exchange als Relay senden soll. Dazu müssen Sie nur einen entsprechenden SMTP-Connector mit passendem Adressraum einrichten und die kleine Checkbox am unteren Rand aktivieren:
|
Analog zur Weiterlung für bestimmte Empfänger erlaubt diese Einstellung eine Weiterleitung für eine komplette Domäne. Eine gesonderte Anmeldung oder Pflege von IP-Adressen der legitimen Absendersysteme ist nicht mehr erforderlich. Solch eine Einstellung öffnet natürlich dann diesen Weg auch für Viren und Werbung und ist daher genau zu prüfen. |
Offenes Relay für alle Systeme, die Exchange erreichen können |
Exchange können Sie über zwei Funktionen zum offenen Relay machen:
|
Von solche einer Einstellung ist komplett abzuraten, da ein offenes Relay eine Einladung für Schadprogramme aber auch sonstigen Missbrauch ist. Selbst wenn der Exchange Server nicht direkt aus dem Internet erreichbar ist und damit der Verursacher anscheinend nur von innen kommen kann, so ist das Risiko bei einer späteren Umstellung oder z.B. Anbindung von Lieferanten und Kunden einfach zu groß. |
Die aus heutiger Sicht beste Option ist der Versand über die Anmeldung an Exchange. Durch die Nutzung von SMTP-AUTH wird zudem der Intelligent Message Filter umgangen, so dass auch Systemmeldungen, Meldung aus SAP oder anderen Anwendungen zuverlässig zugestellt werden.
Aber auch wenn Exchange ein Absendersystem akzeptiert, so muss der Absender dennoch sorge dafür tragen, dass bei einem Fehler auch die Unzustellbarkeit einem Benutzer bekannt wird. Es wäre nun fatal eben genau diese Unzustellbarkeit ebenfalls an Exchange zu senden, da Sie auch fehlschlagen könnte. In den Zeiten, zu denen Exchange nicht verfügbar ist, z.B.: bei der Installation eines Service Pack, sollten diese Systeme eine Warteschlange pflegen oder zumindest den Fehlversuch anderweitig protokollieren.
Eingehendes Relay
Damit Exchange eingehende Nachrichten überhaupt annimmt, muss Exchange für die Empfängerdomänen für zuständig erklärt werden. Dies erfolgt am einfachsten über die Empfängerrichtlinien. Damit nimmt Exchange die Nachrichten schon einmal an. Exchange versucht dann den Empfänger innerhalb der Organisation zu ermitteln und wenn dies nicht gelingt wird eine Unzustellbarkeit erstellt oder die Mail entsprechend der Konfiguration weiter geleitet. Und genau das muss man einfach nur passend einstellen.
Welche Wege hierfür möglich sind, finden Sie auf Weiterleitungen.
Weitere Links
- Relaykonzept - Sicherer Betrieb von Exchange als Maildrehscheibe
- Relaysicherheit - Wann sollte ein Mailserver die Nachricht weitergeben und wann nicht ?
- Receiveconnector - Exchange 2007 und neuer als Relay verwenden
- Weiterleitungen
- Relay bei Internet Mail
- Exchange 5.5. Relayschutz
- Relay mit Exchange 2000/2003
- Receiveconnector
- Relay bei Internet Mail testen
- Allowing application servers to relay off Exchange Server 2007
http://blogs.technet.com/b/exchange/archive/2006/12/28/432013.aspx