Und immer wieder SMTP-Relay

[mind1]

Hallo zusammen,

beim SMTP-Relay haben wir schon immer alle Sicherheitseinstellungen aktiviert, die das Konfig-Doc des Servers hergibt. So dürfen natürlich nur autentifizierte User relayen. Jetzt haben wir es aber schon ein paar Mal gehabt, dass Zugangsdaten in falsche Hände geraten sind. Meist dadurch, dass diese mal an einen großen Provider gemailt wurden. Plötzlich hatte der Spammer also einen Account, mit dem er relayen darf...

Eigentlich müssen bei uns nur die allerwenigsten User relayen. Kann ich das irgendwie über die Security-Regeln im Adressbuch einstellen? Es würde schon reichen, wenn ich explizit die Konten angeben könnte, die dürfen. Besser wäre noch eine Volumenanzahl pro Tag oder Stunde. Oder muss ich da auf externe Firewalls oder Security-Software zurückgreifen? Habe mir auch schon eset Security für Lotus Domino angesehen und bekomme bald eine Testversion.

Fest steht jedenfalls, dass es bei uns so nicht bleiben kann. Wie macht Ihr das?

Edit: Hab jetzt noch ausprobiert, das Mailsystem im Benutzerdokument auf "none" zu stellen. Selbst dann nimmt der Server den Benutzer als Relay-Benutzer an. Das ist m. E. glatter Unsinn...

Danke für jeden Tip!

[Tode]

Wenn Zugangsdaten verloren gehen, habt Ihr ein viel grösseres Problem als ein offenes Relay.... Wie kommt der denn überhaupt mit den Zugangsdaten auf Euren Server, ihr habt den doch nicht erwa direkt von draussen erreichbar eingebunden, oder etwa doch?

[mind1]

Hallo Torsten,

ja, das ist definitiv ein sehr großes Problem - keine Frage. Und ich nehme das sehr ernst.

Was meinst Du denn mit "direkt von aussen"? Er ist natürlich über den SMTP-Port erreichbar, so wie ein HTTP-Server über den HTTP-Port erreichbar ist. Und so kommt er dann mit smtp-auth auf den Server - auch wenn er eigentlich nur einen HTTP-Account hat und gar nichts mit Mail zu tun hat. Mich stört einfach, dass jeder User-Account auch für Relaying verwendet werden kann, wenn man das im Konfig-Doc so einstellt. Anders herum kommt man ja auch um die Einstellung nicht herum, wenn man mindestens einen User hat, der das benötigt.

Ich würde einfach gern ein paar Tips bekommen, was ich am besten davor schalten kann oder wie ich das sonst lösen kann. Mit Domino allein scheint es ja nicht zu funktionieren, dass man das Relaying vernünftig einschränken kann, also auf user und auf max. Traffic pro Account. Eine gute Fehler 550 (user not found) Analyse in Realtime wäre auch super.

Wir haben übringens einen Mail-Relay-Provider dahinter (dort bedienen wir mit dem Server einen Relay-Account), der wiederum gegen SPAM absichert. Das funktioniert auch bis zu einem gewissen Punkt gut. Allerdings würde es viel besser funktionieren, wenn ich das alles selbst absichern könnte.

Gruß, Bernd

[Pfefferminz-T]

Das Internetkennwort eines Nutzers wird in Notes halt nun mal zur Authentifizierung für SMTP, POP3, Web, LDAP und IMAP verwendet. Wenn ein Account gekappert wurde, dann ändert man als Admin das Internetkennwort und gut ist.

Zu eurem Aufbau:

Einen Domino-Server Deiner internen Domino Domäne solltest Du nicht ins Internet exponieren, egal ob als Webserver, LDAP oder SMTP-Server da hierbei auch Dein Domino Verzeichnis mit den internen Daten zu Servern, Hostnamen, Nutzernamen, Gruppen etc. angreifbar wird. Es wird immer irgendeine Lücke geben... selbstverschuldet durch fehlerhafte Einstellungen oder durch Beast/Poodle und Co...

Folgende Möglichkeiten für eure Infrastruktur:
- Du schreibst ihr habt ein SMTP-Relay, welches auf SPAM und Viren prüft? Wieso lasst ihr dann über den Domino-Server erst alle Mails rein und leitet diese danach erst an den Filter weiter? Umgekehrte Reihenfolge würde Sinn machen.
- Ein neuer Domino Server in einer eigenen Domino Domäne mit fast leerem Adressbuch, der über NRPC oder SMTP den Kontakt zum Internet herstellt.
- Viele Firewalls können heute schon als SMTP-Gateway arbeiten, eure vielleicht auch?
- Ein uralter Rechner mit Postfix als SMTP-Relay oder eine Appliance wie IronPort, Watchguard, ... da gibt es zig Möglichkeiten, die ihr dann von intern als Relay verwendet und die von extern als erster Kontakt für SMTP arbeitet.

Gruss,
Thorsten

[Tode]

Ihr seit wohl -zum Glück für Euch- noch nie Opfer einer Spam- oder Denial- Of- Service- Attacke gewesen, denn sonst wäre Eurer Domino tot. Einer meiner Kunden hatte einen Fall mit mehreren Millionen Spam- Mails am Tag... Die hätten den Domino- Server auf Tage totgemacht. Der Kunde hat zu seinen MailSweepern einfach 2 weitere dazugestellt und gewartet, bis der Sturm sich legt. Die "normalen" Mails kamen fast ohne Verzögerung rein.

Den Ausführungen von Thorsten ist ansonsten nichts hinzuzufügen.... Mit solchen Appliances ist auch die Analyse, das Blocken, etc. kein Problem.

Domino kann zwar schon viel, aber mit einer Appliance kann es nicht mithalten.
Zurück zu Deiner Frage: Weshalb füllst Du allerdings nicht einfach die Felder "Allow messages only from the following external internet addresses/domains:" und "Deny messages from the following internet addresses/domains:" im Tab "Router/SMTP - Restrictions and Controls - Inbound Controls" des Konfigurationsdokuments mit den wenigen Adressen, die externe Mails senden dürfen? Das sollte doch genau das sein, was Du suchst!?

[mind1]

Hallo Thorsten,

danke, das sind schon ein paar gute Anregungen!

Das Internetkennwort eines Nutzers wird in Notes halt nun mal zur Authentifizierung für SMTP, POP3, Web, LDAP und IMAP verwendet. Wenn ein Account gekappert wurde, dann ändert man als Admin das Internetkennwort und gut ist.

Das war bislang auch immer meine Meinung. Kapern gehört heute leider zur Normalität, damit muss man umgehen können.

- Du schreibst ihr habt ein SMTP-Relay, welches auf SPAM und Viren prüft? Wieso lasst ihr dann über den Domino-Server erst alle Mails rein und leitet diese danach erst an den Filter weiter? Umgekehrte Reihenfolge würde Sinn machen.

Wir nutzen den, damit wir von der internen Domäne alle externen Empfänger sicher erreichen können. Die "quasistatische" IP unseres Mail-Servers reicht schon aus, um z.B. bei yahoo nicht rein zu kommen. Der Provider macht dann z.B. dicht, wenn zu viele 550er Fehler pro Minute kommen. Ein klarer Hinweis auf SPAM-Versand.
Das alles kostet natürlich Geld und der SPAM-Schutz ist auch nur sehr grob einstellbar, da er ja immer über den gesamten Traffic geregelt wird, nicht über einzelne Accounts. Diesen Filter als eingehenden Schutz zu verwenden und damit den Traffic dort noch zu erhöhen, halte ich für nicht effektiv.

- Ein neuer Domino Server in einer eigenen Domino Domäne mit fast leerem Adressbuch, der über NRPC oder SMTP den Kontakt zum Internet herstellt.

Darüber habe ich auch schon nachgedacht und es als "Bauernlösung" verworfen. Ich glaube, ich gehe lieber ab von Domino in diesem Fall.

Die anderen Anregungen schaue ich mir an!

Danke!


Gruss,
Bernd

[mind1]

Hallo Torsten,

als das Thema aufkam, dass die Open-Relays dicht gemacht werden müssen, hatte ich schon die ersten leidlichen Erfahrungen hinter mir. Zu der Zeit hat Lotus zuerst mit einer Ini-variable, dann mit den erweiterten Einstellungen im Config-Doc reagiert. Ich glaube, die DNS-Blacklists waren auch schon dabei.
Und da sind wir auch gleich beim Kern des Problems, denn das ist glaube ich 15 Jahre her und seit dem hat sich das Config-Doc in der Hinsicht überhaupt nicht verändert. Und die Enwicklung des Netzes in den letzten 15 Jahren brauche ich hier nicht zu erklären. Alle Mail-Provider haben sich in der Zeit derart intensiv weiter entwickelt und Erkennungsmethoden für SPAM und weitere Schutzmaßnahmen noch und nöcher implementiert. Nur beim Domino sehe ich das nicht.
Die von Dir angesprochenen Einstellungen wirken sich auf ALLE eingehenden Mails aus, also nicht nur auf das Relayen. Wenn ich hier z.B. einstelle, das nur die eigenen Absender-Adressen senden dürfen (das wäre ja auch schonmal ein Anfang), kommt gar nix mehr rein, weil ja alle aus dem Internet ankommenden Mails logischerweise nicht die eigene Domain im Absender haben.

Gruß, Bernd 

[Pfefferminz-T]

Hallo Bernd,

wie Torsten auch geschrieben hat gibt es mehrere Appliances am Markt, die ihr dann in der DMZ positionieren könnt und die als Anlaufstelle für die SMTP-Nachrichten (ein- und ausgehend) dienen. Diese Appliances machen nur Mail, können je nach lizenziertem Modul auch SPAM und Viren filtern und sind gut konfigurierbar. So einen Service kann man natürlich z.Bsp. auch mit Postfix betreiben, aber das benötigt neben den Kenntnissen zur Einrichtung (bringt ja nix wenn dann dort Lücken sind) auch eine gewisse Wartung mit neuen Releases, Fixes, etc., Dinge die die Appliances meistens schon automatisiert machen können.

Dein Domino-Server sendet dann seine Nachrichten mittels SMTP an diese Appliance.

Grüsse,
Thorsten