Gefakte SMTP-Mails verhindern

[gere]

Hallo zusammen,

Die meisten Angriffe kommen ja bekanntlich von innen... ich möchte unser Emailsystem noch besser absichern, bevor die Benutzer auf dumme Gedanken kommen.

Folgendes Szenario: Es ist ja kinderleicht, mittels z.B. eines kleinen Java-Progrämmchens eine gefakte Email an den SMTP-Server abzusetzen. Man definiere als Absender die Adresse "KollegeA@firmendomain.de" und als Empfänger "ChefA@firmendomain.de. Den Mailtext kann sich jeder selbst ausdenken 

Die Frage ist jetzt, wie man das am Besten mit einfachen Mitteln verhindern kann. Mein Gedanke war, auf dem SMTP-Server alle eintreffenden Emails, die mit einer Firmendomain in der Absenderadresse ankommen (firmendomain.de, firmendomain.fr,...), abzuweisen, da die ja gewöhnlich intern geroutet werden. Das Problem ist jetzt nur, dass verschiedene Systemmails und Emails von Scannern, Faxgeräten etc. auch alle mit einer Firmenadresse über den SMTP-Server verschickt werden. Man muss also eine Gruppe im Domino Directory erstellen, die solche Adressen enthält und dann die Gruppe auf dem SMTP-Server als Ausnahme deklarieren.

Kann mir jemand einen Tipp geben, wie man sowas am Besten umsetzt? In der Konfiguration vom SMTP-Server gibts da ja wenig Möglichkeiten. Wir haben die Anti-Relay-Prüfung für alle verbundenen Hosts aktiviert, allerdings den IP Range der Server und verbundenen Geräte (PC's/Drucker/Faxe) ausgenommen.

Bin dankbar für jeden guten Ratschlag!

gere

[Driri]

Wir haben eine ähnliche Anforderung so gelöst, daß wir auf einem internen Dominoserver den SMTP-Task mitlaufen lassen und dort als zugelassene Server die IP-Adressen entsprechend freischalten.
Der eigentliche SMTP-Server steht in der DMZ und wird nicht von internen Versendern "belästigt".

[crasher-mike]

Ist eurer SMTP in der DMZ Mitglied der Gruppe LocalDomainServer ?

Wir haben einen internen und externen MailGatewayCluster auf dem jeweils der SMTP Dienst läuft.

Die externen Mailserver stehen im Internet und wenn nun jemand diesen unter seine Kontrolle bringt, kann dieser doch simple via Notesprotokoll auf die Datenbanken aller Server zugreifen (MailDB, Blackberry, Quickr.....)

Zur Zeit überlege ich eine zweite Domäne einzurichten und diese cross-zu-zertifizieren.

[gere]

Hallo,

Der SMTP-Server steht bei uns nicht in der DMZ, sondern im Notes named Network. Sicher ist sicher!

gere

[Driri]

Habe ich vergessen zu erwähnen :

Unser SMTP-Server in der DMZ ist in einer eigenen Notes-Domäne.

[crasher-mike]

Kannst du bitte mal grob beschreiben wie ihr das gelöst habt ?

Hast du die crosszertifiziert, replizierst du dort via Notesprotokoll hin oder relayst du via SMTP über die Gateways ?

[Driri]

Mehr als grob kann ich es auch nicht beschreiben, ich bin kein Admin 

- Gegenzertifikate auf O-Ebene
- Directory der "internen" Notes-Domäne liegt als Replik auf dem SMTP für Namensauflösung
- Mailrouting via Notes

"Interne" Domäne :
- Fremde Domäne "Extern"
- Fremde SMTP-Domäne *.* verweist auf Fremde Domäne "Extern"
- Verbindungsdokument zum "externen" Server

"Externe" Domäne :
- Fremde Domäne "Intern"
- Verbindungsdokument zum "internen" Server


Ich hoffe mal, ich hab nix vergessen.

[crasher-mike]

Alles klar, danke für die Info, das klingt schlüssig 

[Wolfgang]

Kann mir jemand einen Tipp geben, wie man sowas am Besten umsetzt? In der Konfiguration vom SMTP-Server gibts da ja wenig Möglichkeiten. Wir haben die Anti-Relay-Prüfung für alle verbundenen Hosts aktiviert, allerdings den IP Range der Server und verbundenen Geräte (PC's/Drucker/Faxe) ausgenommen.

... gibt es einen Grund, warum die PCs SMTP-Mails an den Server schicken dürfen. Bei uns ist das nur den Servern und Druckern erlaubt.

Gruß
Wolfgang

[crasher-mike]

Mehr als grob kann ich es auch nicht beschreiben, ich bin kein Admin 

- Gegenzertifikate auf O-Ebene
- Directory der "internen" Notes-Domäne liegt als Replik auf dem SMTP für Namensauflösung
- Mailrouting via Notes

"Interne" Domäne :
- Fremde Domäne "Extern"
- Fremde SMTP-Domäne *.* verweist auf Fremde Domäne "Extern"
- Verbindungsdokument zum "externen" Server

"Externe" Domäne :
- Fremde Domäne "Intern"
- Verbindungsdokument zum "internen" Server


Ich hoffe mal, ich hab nix vergessen.

Ich setze vor die Gateways nun doch jeweils eine Barracuda Spam Firewall über die der gesamte SMTP Verkehr läuft.