Autor Thema: Unser Domino wird als Relay benutzt! :-( (Gelesen 12590 mal)

JanMaiw · « **am:** 03.06.05 - 19:24:32 »

Hallo,

wir setzen als Mail-Lösung Lotus Domino 6.5 ein und bisher lief das auch alles ganz gut und es gab keine Probleme.

Seit ein paar Tagen aber versucht sich ein SMTP-Server an unseren Domino Server anzuloggen und über uns eMails an folgende Adresse zu verschicken: inet@microsoft.com!

Der Angriff erfolgt immer über den selben Server. Er meldet sich mit Usernamen an die nicht existieren (zum Beispiel "hd@cdc.com.mx") und trotzdem akzeptiert mein Server die Mail und versucht Sie zu senden!

Ich habe dann den Servernamen dieses fremden SMTP-Servers bei meinem Domino Server unter "Configuration \ Messaging \ Messaging Settings \ Restriction and Controls \ SMTP Inbound Controls \Deny messages from following Internet host to be sent to external internet domains" aber das hat nix gebracht!

Habs dann noch bei SMTP Outbound Control unter "Deny messages from the following Internet Adress to be sent to Internet" aber da Fehlanzeige!

Hat jemand eine Ahnung was ich machen könnte oder wie ich verhindern kann das sich ein fremder SMTP mit fremdem User auf meinen Server einloggen kann?

Vielen Dank im voraus .... Janek

eknori · « **Antwort #1 am:** 03.06.05 - 19:31:23 »

ServerKonfigurationsdokument - Router - Restrictions and Control - SMTP Outbound:

Deny messages from the following Internet addresses to be sent to the Internet: * (Sternchen)

Wie sieht denn dein EIntrag dort und auch bei

Allow messages only from the following Notes addresses to be sent to the Internet:

aus ?

Semeaphoros · « **Antwort #2 am:** 03.06.05 - 19:45:07 »

Ulrich, Du meinst die Inbound Controls

Diese beiden Sternchen sind die Basis-Relay-Unterdrücker:

JanMaiw · « **Antwort #3 am:** 03.06.05 - 19:46:14 »

Hallo,

beide Felder sind leer. Das Problem ist das wir viele User haben die sich per Web-Interface einloggen und ich habe Angst das ich denen die Tür damit zumache! :-(

Muss eingestehen das Domino nicht mein Spezialgebiet ist.

Janek

eknori · « **Antwort #4 am:** 03.06.05 - 19:49:02 »

Zitat

Ulrich, Du meinst die Inbound Controls

bin halt nich t der geborene Admin; evtl solltest du ab hier übernehmen ...

JanMaiw · « **Antwort #5 am:** 03.06.05 - 19:51:12 »

Beim Inbound habe ich das Sternchen nur beim ersten Feld (deny messages to be sent to the following external internet domains).

Als ich den Namen des SMTP-Servers beim anderen Feld (SMTP Inbound Controls \Deny messages from following Internet host to be sent to external internet domains) hat das leider nix gebracht.

Janek

Semeaphoros · « **Antwort #6 am:** 03.06.05 - 21:45:14 »

Es ist nicht gesagt, dass der angezeigte Namen auch mit dem Benutzten übereinstimmt. Mache unbedingt in beide Felder einen *.

Ich nehme an, dass Deine User, die Web-Access benutzen, iNotes oder so ähnlich benutzen ... oder? Die werden von diesen Einstellungen nicht betroffen, da sie wie interne gelten. Wenn sie allerdings per SMTP reinkommen, dann wurde das Sicherheitskonzept aber sträflich vernachlässigt. Für solche User müsste die Autentifizierung für SMTP aktiviert werden.

Sehr wichtig, dass Du so rasch wie möglich beide Sterne reinschreibst, sonst seid Ihr innert weniger Stunden auf vielen Balcklists und könnt keine Mails mehr versenden.

JanMaiw · « **Antwort #7 am:** 03.06.05 - 22:27:53 »

Hallo,

danke für die Erklärung. Habe das Sternchen jetzt gesetzt und nun schauen wir mal obs hilft.

Die externen User gehen nicht über SMTP.

Frage am Rande für die ganz dummen: Wie kann es denn sein das mein Server Mails akzeptiert von Benutzern die garnicht akzeptieren? Irgendwie habe ich da eine Verständnislücke! :-(

Janek

Semeaphoros · « **Antwort #8 am:** 03.06.05 - 22:46:50 »

Ich weiss jetzt nicht genau, was Du fragen willst .... die Relay-Funktion war früher eine wichtige Standardfunktion eines SMTP-Servers, um Mails weiterleiten zu können zwischen Servern, die nicht über eine direkte Netzwerkverbindung verfügten, stammt noch aus Zeiten, wo das Internet noch aus direkten Verbindungen zwischen einzelnen Universitäten bestand und daneben die grosse Verbindungswüste herrschte ..... so konnte man auch entferntere Server erreichen, ohne eine direkte Verbindung dafür notwendig zu haben.

JanMaiw · « **Antwort #9 am:** 04.06.05 - 00:01:58 »

DANKE ..... das leuchtet ein

Verständnisslücke gefüllt ....

JanMaiw · « **Antwort #10 am:** 04.06.05 - 00:53:59 »

Hab den Server neu gestartet aber das Problem tritt weiter auf! :-(

Was kann ich noch ändern?

Janek

koehlerbv · « **Antwort #11 am:** 04.06.05 - 01:08:21 »

Mit Verweis auf Deinen anderen Thread Wir haben einen IBM-Businesspartner: Übergib' diesem das Problem - er sollte binnen fünf Minuten jegliches unerlaubtes ralaying stoppen können. Und er sieht vor sich, was wir hier aus der Entfernung nur erahnen können.

Bernhard

JanMaiw · « **Antwort #12 am:** 06.06.05 - 18:09:41 »

Hallo,

ich habe mal einen Screenshot hochgeladen damit ich sehen könnt was da auf meinem Server passiert.

Meinen IBM-Businesspartner kann ich deswegen nicht kontaktieren. Erstmal muss ich es alleine probieren und wäre deswegen für weitere Hilfe sehr dankbar!

Janek

Semeaphoros · « **Antwort #13 am:** 06.06.05 - 18:28:11 »

Den BP hier nicht zu involvlieren, ist für mich nicht nachvollziehbar. Ganz offensichtlich werdet Ihr da als Relay vewendet. Und ganz offensichtlich seit Ihr zumindest mal bereits von Microsoft blockiert worden ..... also möglicherweise bereits in x Blacklists eingetragen. Diese SMTP-Schnittstelle ist im Grunde genommen viel zu heikel, als dass man die "hobbymässig" administrieren könnte.

m3 · « **Antwort #14 am:** 06.06.05 - 18:33:40 »

Im Konfigurationsblatt des Servers folgende Settings gesetzt?

Perform Anti-Relay enforcement for these connecting hosts: All connecting hosts
Exclude these connecting hosts from anti-relay checks: [NIX EINGETRAGEN]
Exceptions for authenticated users: Allow all authenticated users to relay

Ihr habt hoffentlich auch ein "Domain" Dokument, in dem eure Local primary Internet domain: eingetragen ist?

koehlerbv · « **Antwort #15 am:** 06.06.05 - 20:06:14 »

Zitat von: JanMaiw am 06.06.05 - 18:09:41

Meinen IBM-Businesspartner kann ich deswegen nicht kontaktieren.

Warum nicht ? Ich hoffe, Ihr wisst, dass Ihr Euch durch den Betrieb eines offenen Relays ggf. sogar strafbar machen könnt ?

Bernhard

JanMaiw · « **Antwort #16 am:** 06.06.05 - 20:55:54 »

Hallo,

da ich hier in Mexico City sitze mache ich mir über die strafrechtlichen Folgen nicht so den Kopf ....

, hier ticken die Uhren noch etwas anders und deswegen kann ich auch nicht so ohne weiteres den BP kontaktieren.

Janek

JanMaiw · « **Antwort #17 am:** 07.06.05 - 19:47:57 »

Hallo,

das Problem ist gelöst. Ich habe jetzt die Blacklist Überprüfung aktiviert und der Server wurde geblockt. Kurz danach hörte dann die Attacke komplett auf.

Danke auf jeden Fall für die vielen Tips und Hilfe!!

Grüsse aus Mexico .... Janek

eknori · « **Antwort #18 am:** 07.06.05 - 19:52:24 »

Trotzdem solltest du deine ServerConfig noch einmal Punkt für Punkt durchgehen ...

JanMaiw · « **Antwort #19 am:** 07.06.05 - 20:04:39 »

Ich habe jeden Punkt der hier in dem Beitrag erwähnt wurde überprüft und dementsprechend korrigiert. Auch ansonsten habe ich die Config durchleuchtet, aber nichts weiteres gefunden.

Bin aber für weitere Hinweise / Vorschläge sehr dankbar ..... Janek