Autor Thema: Unser Domino wird als Relay benutzt! :-( (Gelesen 12596 mal)

m3 · « **Antwort #20 am:** 07.06.05 - 23:06:05 »

Wenn Du mir die IP des Rechners per pm schickst, werf ich gern mal einen Blick drauf, ob Du noch einen open relay betreibst, ...

koehlerbv · « **Antwort #21 am:** 07.06.05 - 23:10:05 »

Martin, da Du bestimmt nicht auf der Blacklist stehst, wird das sicherlich lustig, oder ?

Bernhard

JanMaiw · « **Antwort #22 am:** 08.06.05 - 02:12:12 »

Hallo,

die PM ist raus. Danke für die Hilfe .... Janek

JanMaiw · « **Antwort #23 am:** 08.06.05 - 03:02:03 »

Habe ja leider die Befürchtung das der relay immer noch offen ist .... aber was kann ich ändern?

Ein Glück das die Blacklist wenigsten meinen Angreifer erstmal ausgebremst hat und ich nun nicht mehr wie ein wilder Microsoft mit Mails zubombe.

Tschüss ..... Janek

Semeaphoros · « **Antwort #24 am:** 08.06.05 - 04:12:51 »

Zitat von: JanMaiw am 08.06.05 - 03:02:03

Habe ja leider die Befürchtung das der relay immer noch offen ist .... aber was kann ich ändern?

a) selber mit Hilfe von entsprechenden Tools überprüfen. Beispielsweise http://www.dnsstuff.com
b) Den Businesspartner involvieren zur Ueberprüfung der Konfiguration (und hoffen, dass er auch die notwendigen Skills besitzt)
c) Einen sonstigen Experten beiziehen, der die Konfiguration minutiös überprüft.

Schocke · « **Antwort #25 am:** 08.06.05 - 11:36:24 »

Ich habe noch unter dem Eintrag bei Inbound Controlls:

"Allow messages to be sent only to the following external internet domains:"

meine Domänen Eingtragen.
Dadurch nimmt mein Server nur SMTP Mails an die an unsere Domänen gerichtet sind. Wenn als Empfänger z.B. microsoft.com Eingetragen ist wird die Mail abgelehnt.

MartinG · « **Antwort #26 am:** 08.06.05 - 11:55:36 »

Es gibt IMHO ein Redbook von IBM oder zumindest einen ausführlichen Eintrag in der KB um den Dominorelaysicher zu machen...

Ich persönlich bevorzuge eher die Variante: sprich das ganze schon vorher relaysicher zu machen, indem man z.B. in der DMZ ein Mailrelay aktiviert welches man korrekt absichert.

Zusätzlich würde ich auch die direkte Mailzustellung nie erlauben. Der MX-Eintrag unserer Domänen zeigt auf unseren Provider und dessen Mailserver stellt dann die Mails auf unser Mailrelay in der DMZ zu. Das hat den Vorteil das ich an der FW Port 25 nur für die Mailserver unseres Providers öffnen muss und ist IMHO die sauberste und sicherste Lösung...

Schocke · « **Antwort #27 am:** 08.06.05 - 12:06:05 »

Zitat

Das hat den Vorteil das ich an der FW Port 25 nur für die Mailserver unseres Providers öffnen muss und ist IMHO die sauberste und sicherste Lösung...

da hast Du natürlich nicht unrecht

m3 · « **Antwort #28 am:** 08.06.05 - 15:27:29 »

So, ich hab jetzt mal die IP bekommen und gecheckt -- der Server ist, was das Relay betrifft, sauber konfiguriert:

Code

help m220 xxx.example.com ESMTP Service (Lotus Domino Release 6.5.1) ready at Wed, 8 Jun 2005 08:05:26 -0500
3
214-Enter one of the following commands:
214-HELO EHLO MAIL RCPT DATA RSET NOOP QUIT
214 HELP
EHLO m3
250-xxx.example.com Hello m3 ([xxx.xx.xx.x]), pleased to meet you
250-HELP
250-SIZE
250 PIPELINING
mail from:m3@hotmail.com
250 m3@hotmail.com... Sender OK
rcpt to:m3@xxx.org
554 Relay rejected for policy reasons.
quit
221 xxx.example.com SMTP Service closing transmission channel
Connection closed by foreign host.

Also genau so, wies sein soll.

Nur den VNC- und UpnP-Port solltest noch zumachen!

JanMaiw · « **Antwort #29 am:** 08.06.05 - 22:02:24 »

Hallo,

erstmal ist das ja eine gute Nachricht! :-D
Auch andere Server die es versucht haben mich als Relay zu benutzen sind jetzt geblockt worden (rejected for policy reasons).

Der ursprüngliche Angreifer (201.145.223.180) und ähnliche SMTP-Server werden nun aber weiterhin nur durch die Blacklist und nicht durch die Policy gestoppt. Das ist insofern nervig weil ich heute morgen wieder damit zu kämpfen hatte das einer nicht in meinen Blacklists drin war und ich erst wieder eine suchen musste die diese IP beinhaltete.
Was machen diese SMTPs anders das meine Anti-Relay Policy nicht wirkt?

Ein anderes Problem ist das unser grösster Kunde in diesen Blacklists enthalten ist und wir somit keine Mails mehr von Ihm bekommen!

Ich habe auch den Eintrag bei Inbound Controlls:

"Allow messages to be sent only to the following external internet domains:" gemacht, aber das schaffte keine Veränderung.

@Semeaphoros

Habe meinen BP kontaktiert, aber von Skills kann keine Rede sein! Da weiss ich inzwischen mehr!

Danke für die Seite, echt hilfreich!

Tschüss .... Janek

Semeaphoros · « **Antwort #30 am:** 08.06.05 - 22:20:45 »

Naja, leider gibts das, BPs ohne die notwendigen Skills

Für diese Ueberprüfung kannst Du Dir aber vielleicht auch einen Experten bewilligen lassen. Wenn der sein Notes-Handwerk beherrscht, kanne er das auch von Ferne machen (wenn man ihm die notwendigen Datenbanken zusendet).

koehlerbv · « **Antwort #31 am:** 08.06.05 - 22:25:25 »

Zitat von: JanMaiw am 08.06.05 - 22:02:24

Habe meinen BP kontaktiert, aber von Skills kann keine Rede sein! Da weiss ich inzwischen mehr!

Hallo Janek,
das ist echt übel. Das BP-Siegel hält leider auch nicht immer, was es verspricht. Suche Dir daher dringend einen neuen. Jens' Hinweis mit der lokalen Unabhängigkeit würde ich dringend bedenken. Abgesehen davon würde ich genau ihm zutrauen, die Löcher auch über den grossen Teich hinweg zu stopfen.

Zitat von: JanMaiw am 08.06.05 - 22:02:24

Ein anderes Problem ist das unser grösster Kunde in diesen Blacklists enthalten ist und wir somit keine Mails mehr von Ihm bekommen!

Das sollte echt zu denken geben. Nachlässigkeit kann da schnell so richtig ins Geld gehen ...

Bernhard

Semeaphoros · « **Antwort #32 am:** 08.06.05 - 22:26:46 »

Jo, der Kunde ist wohl genau durch solche Nachlässigkeit auf die Blacklist gekommen.

JanMaiw · « **Antwort #33 am:** 09.06.05 - 18:28:53 »

Hallo,

habe jetzt eine Blacklist gefunden die unseren Kunden nicht gelistet hat, aber trotzdem den Angreifer stoppt!

Wie auch immer ist das aber keine engültige Lösung denn ich muss wissen wieso es der Typ immer wieder schafft den Anti-Relay zu unterdrücken!

@Semeaphoros

Schreib mir doch mal bitte eine Mail an jmaiwald@cdc.com.mx wie und in welcher Form Du mir helfen könntest und was das alles kostet. Muss ich dann mal mit meinem Boss besprechen! :-)

Tschüss .... Janek

Semeaphoros · « **Antwort #34 am:** 09.06.05 - 18:36:23 »

Ok, werd ich machen. Danke.

diali · « **Antwort #35 am:** 10.06.05 - 06:31:41 »

wenn Du in einem anderen Forum das gleiche Thema postest, dann füge bitte einen Link ein.

www.dominoforum.de

Schau auch mal hier

Du willst bestimmt auch nicht die meisten Fragen 2 mal gestellt bekommen.

Gruß
Dirk

taheri · « **Antwort #36 am:** 10.06.05 - 10:32:32 »

Ich habe nicht die ganze Beitrag gelesen. ich zeige es dir, wie ich mailserver Relaysicher gemacht habe. Bei 4 und 5 Version musste man was in Ini eintragen. Ab Version 6 muss du
(falls mailserver ein feste IP hat). Folgende eintrag in Adressbuch eintragen.

Unter „serverconfig/Router SMTP/Beschränkung/ SMTP Eingang“ die IP Adresse von Server in eckige Klammer schreiben [xxxx.xxxx.xxxx.xxxx].
Dann bist relay sicher.

JanMaiw · « **Antwort #37 am:** 11.06.05 - 00:27:27 »

Hallo,

meinst Du "Configuration/Messaging/Messaging Settings/Restrictions and Controls/SMTP Inbound Controls/"

den Punkt "Allow messages only from the following internet host to be sent to external internet domains."?

Habe es dort wie angegeben eingetragen, aber es brachte keine Veränderung.

Schönes WE allen .... Janek :-)

JanMaiw · « **Antwort #38 am:** 25.06.05 - 00:25:19 »

Hallo,

ich glaube nun habe ich die endgültige Lösung gefunden!

Ich habe die Option "Verify that local domain recipients exist in the Domain Directory" bei den SMTP Inbound Settings aktiviert und seitdem werden alle Versuche mich als Relay zu nutzen abgeblockt mit dem Hinweis das der Recipient nicht in der Domain existiert!

Die Blacklist ist also nicht mehr von nöten.

Schönes WE ..... Janek

Semeaphoros · « **Antwort #39 am:** 25.06.05 - 00:42:44 »

Tja, das Problem ist einzig, dass diese zwei Sachen nichts miteinander zu tun haben ....... sprich irgendwas ist da faul