Das Notes Forum

Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: JanMaiw am 03.06.05 - 19:24:32

Titel: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 03.06.05 - 19:24:32
Hallo,

wir setzen als Mail-Lösung Lotus Domino 6.5 ein und bisher lief das auch alles ganz gut und es gab keine Probleme.

Seit ein paar Tagen aber versucht sich ein SMTP-Server an unseren Domino Server anzuloggen und über uns eMails an folgende Adresse zu verschicken: inet@microsoft.com!

Der Angriff erfolgt immer über den selben Server. Er meldet sich mit Usernamen an die nicht existieren (zum Beispiel "hd@cdc.com.mx") und trotzdem akzeptiert mein Server die Mail und versucht Sie zu senden!  ???

Ich habe dann den Servernamen dieses fremden SMTP-Servers bei meinem Domino Server unter "Configuration \ Messaging \ Messaging Settings \ Restriction and Controls \ SMTP Inbound Controls \Deny messages from following Internet host to be sent to external internet domains"  aber das hat nix gebracht!

Habs dann noch bei SMTP Outbound Control unter "Deny messages from the following Internet Adress to be sent to Internet" aber da Fehlanzeige!

Hat jemand eine Ahnung was ich machen könnte oder wie ich verhindern kann das sich ein fremder SMTP mit fremdem User auf meinen Server einloggen kann?

Vielen Dank im voraus .... Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: eknori am 03.06.05 - 19:31:23
ServerKonfigurationsdokument - Router - Restrictions and Control - SMTP Outbound:

Deny messages from the following Internet addresses to be sent to the Internet: * (Sternchen)

Wie sieht denn dein EIntrag dort und auch bei

Allow messages only from the following Notes addresses to be sent to the Internet:

aus ?

Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 03.06.05 - 19:45:07
Ulrich, Du meinst die Inbound Controls

Diese beiden Sternchen sind die Basis-Relay-Unterdrücker:

Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 03.06.05 - 19:46:14
Hallo,

beide Felder sind leer. Das Problem ist das wir viele User haben die sich per Web-Interface einloggen und ich habe Angst das ich denen die Tür damit zumache! :-(

Muss eingestehen das Domino nicht mein Spezialgebiet ist.

Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: eknori am 03.06.05 - 19:49:02
Zitat
Ulrich, Du meinst die Inbound Controls

bin halt nich t der geborene Admin; evtl solltest du ab hier übernehmen ...
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 03.06.05 - 19:51:12
Beim Inbound habe ich das Sternchen nur beim ersten Feld (deny messages to be sent to the following external internet domains).

Als ich den Namen des SMTP-Servers beim anderen Feld (SMTP Inbound Controls \Deny messages from following Internet host to be sent to external internet domains) hat das leider nix gebracht.

Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 03.06.05 - 21:45:14
Es ist nicht gesagt, dass der angezeigte Namen auch mit dem Benutzten übereinstimmt. Mache unbedingt in beide Felder einen *.

Ich nehme an, dass Deine User, die Web-Access benutzen, iNotes oder so ähnlich benutzen ... oder? Die werden von diesen Einstellungen nicht betroffen, da sie wie interne gelten. Wenn sie allerdings per SMTP reinkommen, dann wurde das Sicherheitskonzept aber sträflich vernachlässigt. Für solche User müsste die Autentifizierung für SMTP aktiviert werden.

Sehr wichtig, dass Du so rasch wie möglich beide Sterne reinschreibst, sonst seid Ihr innert weniger Stunden auf vielen Balcklists und könnt keine Mails mehr versenden.
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 03.06.05 - 22:27:53
Hallo,

danke für die Erklärung. Habe das Sternchen jetzt gesetzt und nun schauen wir mal obs hilft.

Die externen User gehen nicht über SMTP.

Frage am Rande für die ganz dummen: Wie kann es denn sein das mein Server Mails akzeptiert von Benutzern die garnicht akzeptieren? Irgendwie habe ich da eine Verständnislücke! :-(

Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 03.06.05 - 22:46:50
Ich weiss jetzt nicht genau, was Du fragen willst .... die Relay-Funktion war früher eine wichtige Standardfunktion eines SMTP-Servers, um Mails weiterleiten zu können zwischen Servern, die nicht über eine direkte Netzwerkverbindung verfügten, stammt noch aus Zeiten, wo das Internet noch aus direkten Verbindungen zwischen einzelnen Universitäten bestand und daneben die grosse Verbindungswüste herrschte ..... so konnte man auch entferntere Server erreichen, ohne eine direkte Verbindung dafür notwendig zu haben.
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 04.06.05 - 00:01:58
DANKE ..... das leuchtet ein  :)

Verständnisslücke gefüllt ....  ;D
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 04.06.05 - 00:53:59
Hab den Server neu gestartet aber das Problem tritt weiter auf! :-(

Was kann ich noch ändern?

Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: koehlerbv am 04.06.05 - 01:08:21
Mit Verweis auf Deinen anderen Thread Wir haben einen IBM-Businesspartner (http://www.atnotes.de/index.php?topic=23324.from1117839559;topicseen#msg148623): Übergib' diesem das Problem - er sollte binnen fünf Minuten jegliches unerlaubtes ralaying stoppen können. Und er sieht vor sich, was wir hier aus der Entfernung nur erahnen können.

Bernhard
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 06.06.05 - 18:09:41
Hallo,

ich habe mal einen Screenshot hochgeladen damit ich sehen könnt was da auf meinem Server passiert.

(http://mitglied.lycos.de/sailsperson/DomServerError.jpg)

Meinen IBM-Businesspartner kann ich deswegen nicht kontaktieren. Erstmal muss ich es alleine probieren und wäre deswegen für weitere Hilfe sehr dankbar!

Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 06.06.05 - 18:28:11
Den BP hier nicht zu involvlieren, ist für mich nicht nachvollziehbar. Ganz offensichtlich werdet Ihr da als Relay vewendet. Und ganz offensichtlich seit Ihr zumindest mal bereits von Microsoft blockiert worden ..... also möglicherweise bereits in x Blacklists eingetragen. Diese SMTP-Schnittstelle ist im Grunde genommen viel zu heikel, als dass man die "hobbymässig" administrieren könnte.
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: m3 am 06.06.05 - 18:33:40
Im Konfigurationsblatt des Servers folgende Settings gesetzt?

Perform Anti-Relay enforcement for these connecting hosts: All connecting hosts
Exclude these connecting hosts from anti-relay checks: [NIX EINGETRAGEN]
Exceptions for authenticated users:   Allow all authenticated users to relay

Ihr habt hoffentlich auch ein "Domain" Dokument, in dem eure Local primary Internet domain: eingetragen ist?
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: koehlerbv am 06.06.05 - 20:06:14
Zitat von: JanMaiw am 06.06.05 - 18:09:41
Meinen IBM-Businesspartner kann ich deswegen nicht kontaktieren.

Warum nicht ? Ich hoffe, Ihr wisst, dass Ihr Euch durch den Betrieb eines offenen Relays ggf. sogar strafbar machen könnt ?

Bernhard
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 06.06.05 - 20:55:54
Hallo,

da ich hier in Mexico City sitze mache ich mir über die strafrechtlichen Folgen nicht so den Kopf ....  ;D , hier ticken die Uhren noch etwas anders und deswegen kann ich auch nicht so ohne weiteres den BP kontaktieren. :(

Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 07.06.05 - 19:47:57
Hallo,

das Problem ist gelöst. Ich habe jetzt die Blacklist Überprüfung aktiviert und der Server wurde geblockt. Kurz danach hörte dann die Attacke komplett auf.

Danke auf jeden Fall für die vielen Tips und Hilfe!! :)

Grüsse aus Mexico .... Janek  8)
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: eknori am 07.06.05 - 19:52:24
Trotzdem solltest du deine ServerConfig noch einmal Punkt für Punkt durchgehen ...

Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 07.06.05 - 20:04:39
Ich habe jeden Punkt der hier in dem Beitrag erwähnt wurde überprüft und dementsprechend korrigiert. Auch ansonsten habe ich die Config durchleuchtet, aber nichts weiteres gefunden.

Bin aber für weitere Hinweise / Vorschläge sehr dankbar ..... Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: m3 am 07.06.05 - 23:06:05
Wenn Du mir die IP des Rechners per pm schickst, werf ich gern mal einen Blick drauf, ob Du noch einen open relay betreibst, ...
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: koehlerbv am 07.06.05 - 23:10:05
Martin, da Du bestimmt nicht auf der Blacklist stehst, wird das sicherlich lustig, oder ?  ;D

Bernhard
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 08.06.05 - 02:12:12
Hallo,

die PM ist raus. Danke für die Hilfe .... Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 08.06.05 - 03:02:03
Habe ja leider die Befürchtung das der relay immer noch offen ist .... aber was kann ich ändern????  ???

Ein Glück das die Blacklist wenigsten meinen Angreifer erstmal ausgebremst hat und ich nun nicht mehr wie ein wilder Microsoft mit Mails zubombe.  ;D

Tschüss ..... Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 08.06.05 - 04:12:51
Zitat von: JanMaiw am 08.06.05 - 03:02:03
Habe ja leider die Befürchtung das der relay immer noch offen ist .... aber was kann ich ändern?

a) selber mit Hilfe von entsprechenden Tools überprüfen. Beispielsweise http://www.dnsstuff.com
b) Den Businesspartner involvieren zur Ueberprüfung der Konfiguration (und hoffen, dass er auch die notwendigen Skills besitzt)
c) Einen sonstigen Experten beiziehen, der die Konfiguration minutiös überprüft.
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Schocke am 08.06.05 - 11:36:24
Ich habe noch unter dem Eintrag bei Inbound Controlls:

"Allow messages to be sent only to the following external internet domains:"

meine Domänen Eingtragen.
Dadurch nimmt mein Server nur SMTP Mails an die an unsere Domänen gerichtet sind. Wenn als Empfänger z.B. microsoft.com Eingetragen ist wird die Mail abgelehnt.
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: MartinG am 08.06.05 - 11:55:36
Es gibt IMHO ein Redbook von IBM oder zumindest einen ausführlichen Eintrag in der KB um den Dominorelaysicher zu machen...

Ich persönlich bevorzuge eher die Variante: sprich das ganze schon vorher relaysicher zu machen, indem man z.B. in der DMZ ein Mailrelay aktiviert welches man korrekt absichert.

Zusätzlich würde ich auch die direkte Mailzustellung nie erlauben. Der MX-Eintrag unserer Domänen zeigt auf unseren Provider und dessen Mailserver stellt dann die Mails auf unser Mailrelay in der DMZ zu. Das hat den Vorteil das ich an der FW Port 25 nur für die Mailserver unseres Providers öffnen muss und ist IMHO die sauberste und sicherste Lösung...
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Schocke am 08.06.05 - 12:06:05
Zitat
Das hat den Vorteil das ich an der FW Port 25 nur für die Mailserver unseres Providers öffnen muss und ist IMHO die sauberste und sicherste Lösung...

da hast Du natürlich nicht unrecht ;)
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: m3 am 08.06.05 - 15:27:29
So, ich hab jetzt mal die IP bekommen und gecheckt -- der Server ist, was das Relay betrifft, sauber konfiguriert:
Code
help m220 xxx.example.com ESMTP Service (Lotus Domino Release 6.5.1) ready at Wed, 8 Jun 2005 08:05:26 -0500
3
214-Enter one of the following commands:
214-HELO EHLO MAIL RCPT DATA RSET NOOP QUIT
214 HELP
EHLO m3
250-xxx.example.com Hello m3 ([xxx.xx.xx.x]), pleased to meet you
250-HELP
250-SIZE
250 PIPELINING
mail from:m3@hotmail.com
250 m3@hotmail.com... Sender OK
rcpt to:m3@xxx.org
554 Relay rejected for policy reasons.
quit
221 xxx.example.com SMTP Service closing transmission channel
Connection closed by foreign host.
Also genau so, wies sein soll.

Nur den VNC- und UpnP-Port solltest noch zumachen! ;)
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 08.06.05 - 22:02:24
Hallo,

erstmal ist das ja eine gute Nachricht! :-D
Auch andere Server die es versucht haben mich als Relay zu benutzen sind jetzt geblockt worden (rejected for policy reasons).

Der ursprüngliche Angreifer (201.145.223.180) und ähnliche SMTP-Server werden nun aber weiterhin nur durch die Blacklist und nicht durch die Policy gestoppt. Das ist insofern nervig weil ich heute morgen wieder damit zu kämpfen hatte das einer nicht in meinen Blacklists drin war und ich erst wieder eine suchen musste die diese IP beinhaltete.
Was machen diese SMTPs anders das meine Anti-Relay Policy nicht wirkt?

Ein anderes Problem ist das unser grösster Kunde in diesen Blacklists enthalten ist und wir somit keine Mails mehr von Ihm bekommen!

Ich habe auch den Eintrag bei Inbound Controlls:

"Allow messages to be sent only to the following external internet domains:" gemacht, aber das schaffte keine Veränderung.

@Semeaphoros

Habe meinen BP kontaktiert, aber von Skills kann keine Rede sein! Da weiss ich inzwischen mehr! :(

Danke für die Seite, echt hilfreich!

Tschüss .... Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 08.06.05 - 22:20:45
Naja, leider gibts das, BPs ohne die notwendigen Skills :(

Für diese Ueberprüfung kannst Du Dir aber vielleicht auch einen Experten bewilligen lassen. Wenn der sein Notes-Handwerk beherrscht, kanne er das auch von Ferne machen (wenn man ihm die notwendigen Datenbanken zusendet).
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: koehlerbv am 08.06.05 - 22:25:25
Zitat von: JanMaiw am 08.06.05 - 22:02:24
Habe meinen BP kontaktiert, aber von Skills kann keine Rede sein! Da weiss ich inzwischen mehr! :(

Hallo Janek,
das ist echt übel. Das BP-Siegel hält leider auch nicht immer, was es verspricht. Suche Dir daher dringend einen neuen. Jens' Hinweis mit der lokalen Unabhängigkeit würde ich dringend bedenken. Abgesehen davon würde ich genau ihm zutrauen, die Löcher auch über den grossen Teich hinweg zu stopfen.

Zitat von: JanMaiw am 08.06.05 - 22:02:24
Ein anderes Problem ist das unser grösster Kunde in diesen Blacklists enthalten ist und wir somit keine Mails mehr von Ihm bekommen!

Das sollte echt zu denken geben. Nachlässigkeit kann da schnell so richtig ins Geld gehen ...

Bernhard
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 08.06.05 - 22:26:46
Jo, der Kunde ist wohl genau durch solche Nachlässigkeit auf die Blacklist gekommen.
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 09.06.05 - 18:28:53
Hallo,

habe jetzt eine Blacklist gefunden die unseren Kunden nicht gelistet hat, aber trotzdem den Angreifer stoppt!  :)

Wie auch immer ist das aber keine engültige Lösung denn ich muss wissen wieso es der Typ immer wieder schafft den Anti-Relay zu unterdrücken!

@Semeaphoros

Schreib mir doch mal bitte eine Mail an jmaiwald@cdc.com.mx wie und in welcher Form Du mir helfen könntest und was das alles kostet. Muss ich dann mal mit meinem Boss besprechen! :-)

Tschüss .... Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 09.06.05 - 18:36:23
Ok, werd ich machen. Danke.
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: diali am 10.06.05 - 06:31:41
wenn Du in einem anderen Forum das gleiche Thema postest, dann füge bitte einen Link ein.

www.dominoforum.de (http://www.dominoforum.de/modules/newbb/viewtopic.php?topic_id=8510&start=0#forumpost44090)

Schau auch mal hier (http://217.160.137.156/user/bp/tmc/_forumsregeln/rules001.html#23)

Du willst bestimmt auch nicht die meisten Fragen 2 mal gestellt bekommen.

Gruß
Dirk
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: taheri am 10.06.05 - 10:32:32
Ich habe nicht die ganze Beitrag gelesen.  ich zeige es dir, wie ich mailserver Relaysicher gemacht habe. Bei 4 und 5 Version musste man was in Ini eintragen. Ab Version 6 muss du
(falls mailserver ein feste IP hat). Folgende eintrag in Adressbuch eintragen.

Unter „serverconfig/Router SMTP/Beschränkung/ SMTP Eingang“  die IP Adresse von Server in eckige Klammer schreiben  [xxxx.xxxx.xxxx.xxxx].
Dann bist relay sicher.

Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 11.06.05 - 00:27:27
Hallo,

meinst Du "Configuration/Messaging/Messaging Settings/Restrictions and Controls/SMTP Inbound Controls/"

den Punkt "Allow messages only from the following internet host to be sent to external internet domains."?

Habe es dort wie angegeben eingetragen, aber es brachte keine Veränderung.

Schönes WE allen .... Janek :-)
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 25.06.05 - 00:25:19
Hallo,

ich glaube nun habe ich die endgültige Lösung gefunden!

Ich habe die Option "Verify that local domain recipients exist in the Domain Directory" bei den SMTP Inbound Settings aktiviert und seitdem werden alle Versuche mich als Relay zu nutzen abgeblockt mit dem Hinweis das der Recipient nicht in der Domain existiert!

Die Blacklist ist also nicht mehr von nöten.

Schönes WE ..... Janek
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: Semeaphoros am 25.06.05 - 00:42:44
Tja, das Problem ist einzig, dass diese zwei Sachen nichts miteinander zu tun haben ....... sprich irgendwas ist da faul  :-:
Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: MartinG am 27.06.05 - 09:02:27
@Janek - Jens hat "leider" Recht. Wenn ich Dir einen guten Rat geben darf, dann nimm Dir einen externen Profi hinzu. So wie ich die Sache einschätze bist Du -sorry wenn ich das so hart sage- gnadenlos überfordert damit.

Ein "offenes" Relay zu betreiben ist nicht ohne, es gibt da auch schon Gerichtsurteile dazu, das ähnliche Geschichten als grob fahrlässig gelten und ein Kündigungsgrund sein können. Ich möchte Dir keine Angast machen, aber wenn irgendein Idiot Dein offenes Relay zur Verbreitung von Kinderpornos nutzt, hat Dein Chef ganz schnell ein richtiges Problem....

Titel: Re: Unser Domino wird als Relay benutzt! :-(
Beitrag von: JanMaiw am 28.06.05 - 00:29:59
@Martin

zwar hart aber wahr, insofern kein Problem damit!  :)


@all

Zitat von: m3 am 08.06.05 - 15:27:29
So, ich hab jetzt mal die IP bekommen und gecheckt -- der Server ist, was das Relay betrifft, sauber konfiguriert:
Code
help m220 xxx.example.com ESMTP Service (Lotus Domino Release 6.5.1) ready at Wed, 8 Jun 2005 08:05:26 -0500
3
214-Enter one of the following commands:
214-HELO EHLO MAIL RCPT DATA RSET NOOP QUIT
214 HELP
EHLO m3
250-xxx.example.com Hello m3 ([xxx.xx.xx.x]), pleased to meet you
250-HELP
250-SIZE
250 PIPELINING
mail from:m3@hotmail.com
250 m3@hotmail.com... Sender OK
rcpt to:m3@xxx.org
554 Relay rejected for policy reasons.
quit
221 xxx.example.com SMTP Service closing transmission channel
Connection closed by foreign host.
Also genau so, wies sein soll.

Nur den VNC- und UpnP-Port solltest noch zumachen! ;)

Daraus und aus anderen Tests schliesse ich das der Server an sich kein offenes Relay betreibt.
Der Angriff sah immer so aus das er es von und an einem nicht existierenden Benutzer in meiner Domaine schicken wollte (und dazu auch noch an eine Adresse bei Microsoft). Insofern hat der Check auf die Existenz des lokalen Empfängers bzw. Versenders schon funktioniert um Ihn zu blocken.

Zum Abschluss kann ich nur nochmal wiederholen das ich hier halt keine Deutschen Verhältnisse ansetzen kann und solche Sachen wie rechtliche Probleme ziehen hier einfach nicht! Traurig aber wahr!
Geld wird auch nicht in externe investiert, da wartet man lieber ab das es sich von selber regelt!

Das Wetter hier ist zwar besser als in Deutschland, aber solche Sachen machen es einem dann schon manchmal schwer hier die Ruhe zu bewahren.

Tschüss .... Janek