Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Und immer wieder SMTP-Relay

(1/2) > >>

mind1:
Hallo zusammen,

beim SMTP-Relay haben wir schon immer alle Sicherheitseinstellungen aktiviert, die das Konfig-Doc des Servers hergibt. So dürfen natürlich nur autentifizierte User relayen. Jetzt haben wir es aber schon ein paar Mal gehabt, dass Zugangsdaten in falsche Hände geraten sind. Meist dadurch, dass diese mal an einen großen Provider gemailt wurden. Plötzlich hatte der Spammer also einen Account, mit dem er relayen darf...

Eigentlich müssen bei uns nur die allerwenigsten User relayen. Kann ich das irgendwie über die Security-Regeln im Adressbuch einstellen? Es würde schon reichen, wenn ich explizit die Konten angeben könnte, die dürfen. Besser wäre noch eine Volumenanzahl pro Tag oder Stunde. Oder muss ich da auf externe Firewalls oder Security-Software zurückgreifen? Habe mir auch schon eset Security für Lotus Domino angesehen und bekomme bald eine Testversion.

Fest steht jedenfalls, dass es bei uns so nicht bleiben kann. Wie macht Ihr das?

Edit: Hab jetzt noch ausprobiert, das Mailsystem im Benutzerdokument auf "none" zu stellen. Selbst dann nimmt der Server den Benutzer als Relay-Benutzer an. Das ist m. E. glatter Unsinn...

Danke für jeden Tip!

Tode:
Wenn Zugangsdaten verloren gehen, habt Ihr ein viel grösseres Problem als ein offenes Relay.... Wie kommt der denn überhaupt mit den Zugangsdaten auf Euren Server, ihr habt den doch nicht erwa direkt von draussen erreichbar eingebunden, oder etwa doch?

mind1:
Hallo Torsten,

ja, das ist definitiv ein sehr großes Problem - keine Frage. Und ich nehme das sehr ernst.

Was meinst Du denn mit "direkt von aussen"? Er ist natürlich über den SMTP-Port erreichbar, so wie ein HTTP-Server über den HTTP-Port erreichbar ist. Und so kommt er dann mit smtp-auth auf den Server - auch wenn er eigentlich nur einen HTTP-Account hat und gar nichts mit Mail zu tun hat. Mich stört einfach, dass jeder User-Account auch für Relaying verwendet werden kann, wenn man das im Konfig-Doc so einstellt. Anders herum kommt man ja auch um die Einstellung nicht herum, wenn man mindestens einen User hat, der das benötigt.

Ich würde einfach gern ein paar Tips bekommen, was ich am besten davor schalten kann oder wie ich das sonst lösen kann. Mit Domino allein scheint es ja nicht zu funktionieren, dass man das Relaying vernünftig einschränken kann, also auf user und auf max. Traffic pro Account. Eine gute Fehler 550 (user not found) Analyse in Realtime wäre auch super.

Wir haben übringens einen Mail-Relay-Provider dahinter (dort bedienen wir mit dem Server einen Relay-Account), der wiederum gegen SPAM absichert. Das funktioniert auch bis zu einem gewissen Punkt gut. Allerdings würde es viel besser funktionieren, wenn ich das alles selbst absichern könnte.

Gruß, Bernd

Pfefferminz-T:
Das Internetkennwort eines Nutzers wird in Notes halt nun mal zur Authentifizierung für SMTP, POP3, Web, LDAP und IMAP verwendet. Wenn ein Account gekappert wurde, dann ändert man als Admin das Internetkennwort und gut ist.

Zu eurem Aufbau:

Einen Domino-Server Deiner internen Domino Domäne solltest Du nicht ins Internet exponieren, egal ob als Webserver, LDAP oder SMTP-Server da hierbei auch Dein Domino Verzeichnis mit den internen Daten zu Servern, Hostnamen, Nutzernamen, Gruppen etc. angreifbar wird. Es wird immer irgendeine Lücke geben... selbstverschuldet durch fehlerhafte Einstellungen oder durch Beast/Poodle und Co...

Folgende Möglichkeiten für eure Infrastruktur:
- Du schreibst ihr habt ein SMTP-Relay, welches auf SPAM und Viren prüft? Wieso lasst ihr dann über den Domino-Server erst alle Mails rein und leitet diese danach erst an den Filter weiter? Umgekehrte Reihenfolge würde Sinn machen.
- Ein neuer Domino Server in einer eigenen Domino Domäne mit fast leerem Adressbuch, der über NRPC oder SMTP den Kontakt zum Internet herstellt.
- Viele Firewalls können heute schon als SMTP-Gateway arbeiten, eure vielleicht auch?
- Ein uralter Rechner mit Postfix als SMTP-Relay oder eine Appliance wie IronPort, Watchguard, ... da gibt es zig Möglichkeiten, die ihr dann von intern als Relay verwendet und die von extern als erster Kontakt für SMTP arbeitet.

Gruss,
Thorsten

Tode:
Ihr seit wohl -zum Glück für Euch- noch nie Opfer einer Spam- oder Denial- Of- Service- Attacke gewesen, denn sonst wäre Eurer Domino tot. Einer meiner Kunden hatte einen Fall mit mehreren Millionen Spam- Mails am Tag... Die hätten den Domino- Server auf Tage totgemacht. Der Kunde hat zu seinen MailSweepern einfach 2 weitere dazugestellt und gewartet, bis der Sturm sich legt. Die "normalen" Mails kamen fast ohne Verzögerung rein.

Den Ausführungen von Thorsten ist ansonsten nichts hinzuzufügen.... Mit solchen Appliances ist auch die Analyse, das Blocken, etc. kein Problem.

Domino kann zwar schon viel, aber mit einer Appliance kann es nicht mithalten.
Zurück zu Deiner Frage: Weshalb füllst Du allerdings nicht einfach die Felder "Allow messages only from the following external internet addresses/domains:" und "Deny messages from the following internet addresses/domains:" im Tab "Router/SMTP - Restrictions and Controls - Inbound Controls" des Konfigurationsdokuments mit den wenigen Adressen, die externe Mails senden dürfen? Das sollte doch genau das sein, was Du suchst!?

Navigation

[0] Themen-Index

[#] Nächste Seite