Topic: SME als Spam Schleuder?!

[stefan-becker]

Hallo,

wir wurden heute durch unseren Provider gesperrt, weil am Sonntag über 60.000 Spams Mails verschickt worden sollen sein. Jetzt möchte ich natürlich nachprüfen ob dieses über den SME geschehen ist und wenn ja, welcher Benutzer. In welchem Log werden die smtp zugriffe protokolliert?

Stefan

[stefan-becker]

P.S. Ich habe es gerade überprüft (ich dachte das hätte ich bei in Betriebnahme auch gemacht), werden auch Mails ohne SMTP-Auth angenommen. Wo kann ich das aktivieren?

Stefan

[FraunhoferIFF]

http://forums.contribs.org/index.php?topic=34071.0

[capri]

Normalerweise ist der SME 7 sehr Relaysicher, ist allerdings ein User Account gehackt worden könnnen Externe Spams verschicken, ist dazu noch ein rootkit oder Änhliches installiert, dann kann ein Externer auch Spam Scripte ausführen.

Erster Schritt wäre, von Provider eine dieser Mails als Textfile zu bekommen, damit man das Routing in Header nachprüfen kann, denn oft werden auch Domains über andere OpenRelay (meißt im Ausland) missbraucht, bei mir war das mal der Fall als täglich etwa 20.000 Rückläufer kamen obwohl mein Mailserver sicher war.

Rechtlich hat man gegen solchen Domainmissbrauch aber leider kaum eine Chance wenn der Schlimmfinger im Ausland sitzt

Das Andere wäre den SME 7 Server mit z.B. der CT Knoppix CD (verwendet 3 verschiedene Virenscanner) generell mal auf Viren zu checken und alle Einstellungen zu prüfen, den mit den Standardeinstellungen, die auch nicht so ganz einfach zu ändern sind, ist der SME 7 im Bereich Mail eigentlich hervorragend abgesichert.

Es gibt auch Websites die einen Service (kostenlos) anbieten um den eigenen Server auf Relaysicherheit prüfen zu lassen, dies ist natürlich keine 100%ige Sicherheit, aber ansonsten recht hilfreich beim aufdecken von Fehlern bei den Einstellungen.

Eine dieser Testeiten:
http://www.abuse.net/relay.html
oder
http://members.iinet.net.au/~remmie/relay/

[stefan-becker]

Na ja das Problem, dass er ja nicht SMTP-Auth durchführt. Ich habe ja in der relayclient liste, alle Netze aufgenommen, da wir auch einige Aussenstellen haben, die auf den Mail Server zugreifen müssen/sollen. Daher wird in dieser Sache der Schutz der Berchtigung via IP Adresse aufgehoben. Daher die Frage, warum er kein SMTP-Auth durchführt??

Stefan

[capri]

Wenn eure Aussenstelle eine feste IP hat, dann wäre es doch möglich nur diese als vertauenswürdig einzutragen, damit wären alle anderen IP von Aussen den Standardregeln unterworfen.

Wenn keine feste IP vorhanden ist wäre eventuell eine Lösung mit jeweils einen (Hardware) VPN Router vor den SME7 und bei der Aussenstelle eine Lösung?

So wie ich das Jetzt verstehe habt ihr praktisch das ganze Internet als lokales Netzwerk deklariert und somit auch einige wichtige Sicherheitseinstellungen ausgehebelt.

Das ist Fatal, denn wird von den etablierten Spam Filter Anbietern eine Domain als OpenRelay erkannt landet sie schnell auf deren Liste und dann wird es schwierig manche E-Mail Adressen im Internet noch zu erreichen, vom Imageschaden für die Domain/Firma ganz abgesehen.

[stefan-becker]

Hallo,

leider hat keiner der Standorte eine feste IP (Kostenfaktor). Wir haben am Stammsitz eine Siemens HiPath stehen über die VoIP läuft, diese kann IPSec, aber dann auch wieder nur ein spezielles, so dass der norname IPSec Client nicht funktioniert. Spezieller Hardware fällt wegen Kostengründen auch erstmal weg.  Nun hatten wir ja PPTP versucht, aber leider macht da die Siemens wieder nicht mit. Wir wollen daher in Zukunft openVPN ans laufen bringen, aber jetzt muss es erstmal so gehen. Wenn der SME ja SMTP-Auth machen würde, hätten wir erst kein Problem. Wie bekomme ich es also hin, dass egal aus welchen Netz SMTP-Auth ausgeführt wird?

[cactus]

Hallo,

leider hat keiner der Standorte eine feste IP (Kostenfaktor). Wir haben am Stammsitz eine Siemens HiPath stehen über die VoIP läuft, diese kann IPSec, aber dann auch wieder nur ein spezielles, so dass der norname IPSec Client nicht funktioniert. Spezieller Hardware fällt wegen Kostengründen auch erstmal weg.  Nun hatten wir ja PPTP versucht, aber leider macht da die Siemens wieder nicht mit. Wir wollen daher in Zukunft openVPN ans laufen bringen, aber jetzt muss es erstmal so gehen. Wenn der SME ja SMTP-Auth machen würde, hätten wir erst kein Problem. Wie bekomme ich es also hin, dass egal aus welchen Netz SMTP-Auth ausgeführt wird?

So wie gesagt haben Sie die SME Server geoöffnet zum Welt als LAN, ich denke das deswegen SMTP-Auth nicht durchgefürt werd durch SME Server. Um das zu änderes ist ein Sache ohne End denk ich.

Deswegen wurde ich sagen das du gleich den Lokal Access der Server änderen und schutzen muss, damit Ihren Server keinen Relay mehr ist, weil es keinen zweck hat es so zu lassen, weil mann nicht von Spamlist genommen wird.

Nächste aktion ist, so schnell möglich VPN möglich machen und während das nicht fertig ist nur webmail benutzen lassen für Senden von Mail. Wann Sie IMAPS (entweder POPS) aktivieren können Ihre Domain Members noch immer Mail erhalten in ihrer Mailprogramme, nur senden wird damit nicht funktionieren.

[stefan-becker]

Ich habe im Wiki diesen Artikel gefunden http://wiki.contribs.org/Email#How_do_I_enable_smtp_authentication_for_users_on_the_internal_network.

Wenn ich das doch richtig verstanden habe, müsste doch nach den Zeilen dann SMTP-Auth für jeden gelten?

Stefan

[stefan-becker]

Aber leider klappt das auch nicht

[FraunhoferIFF]

@Carpi , es ist mal wieder Zeit Sarkastisch zu werden
manchmal wünsch ich mir auch den Zauberstab von Harry Potter.

Ich wollt mir eben mal dein Problem ansehen und war drauf und dran Dir auch zu helfen.

Mach Dir , bitte, erstmal nen Plan wie du dein Netz in den Griff bekommst.
Und wenn deine Chefs nicht das Geld für nen sicheres Netz haben,dann könnten Sie auch das für den SME sparen und  sollen sie die Mails bei gmx abholen..

Ich habe bis Heute keinen gekannt der als Relay mit dem SME diente.
Aber wenn man sieht wie du an die sache rangestehst , brauchst dich auch nicht wundern.

Vielleicht holt ihr euch mal Professionelle Hilfe?

Marcel

[stefan-becker]

Also ich denke mal, dass meine Überlegung nicht ganz so übertrieben ist. Jeder normale Mailserver kann doch SMTP-Auth und das ist das einzige was ich brauche! Ich verstehe auch nicht warum der SME nicht standardmäßig das macht, denn wenn ich den SME als GW betreiben möchte und den Zugang zum externen Port 25 sperre, dann doch nicht um den SME als offenes Relay zu betreiben? In Uni Netzen wird dies ja auch schon seit längerer Zeit betrieben.

[psc]

...
Aber wenn man sieht wie du an die sache rangestehst , brauchst dich auch nicht wundern.

Vielleicht holt ihr euch mal Professionelle Hilfe?

Marcel

Daher sehe ich das wachsende wiki auch mit gemischten Gefühlen.
Hier entsteht leicht der Eindruck, als währe die Einrichtung und Administration eines SME´s, der immerhin u.a. Firewall, Mailserver, Fileserver oder DC spielen dann, ein Kinderspiel.

Ich kann nur untersteichen:
Holt Euch professionelle Hilfe, wenn Ihr einen SME professionell einsetzen wollt !

[capri]

@Carpi , es ist mal wieder Zeit Sarkastisch zu werden

Das ist es Ja was mir am deutschsprachigem SME Forum schon länger auffällt, der SME 7 ist so einfach zu handhaben das Einsteiger leider schnell auf den 'Trichter' kommen man könnte damit ganz einfach auch komplexeste Anforderungen erledigen.

Wer sich schon mit *BSD oder Gentoo befasst hat weiß aber meißt was hinter der Fassade  eines Unix basierden BS steckt und wie schwierig es sein kann spezielle Lösungen funktionierend zu erstellen.

Meine ich mache über 25 Jahre am Software Geschichten rum, manchmal wünschte ich mir aber auch ich hätte die Mittel mir bereichspezifischen prof. Unterstützung leisten zu können, den Alles weiß Keiner und die Anforderungen werden immer Komplexer.

ZUm Ursprungsposter, eine Firma die Aussenstellen hat, sollte sich doch zumindest Gedanken machen ob es nicht Billiger ist ein paar VPN Router anzuschaffen die die Router MAC Adresse als eindeutige Identzifizierung übertragen können und Realtime verschlüsseln/entschlüsseln, als einen Image Verlust zu riskieren durch ein OpenRelay.

Was lange Zeit nur als ein Problem von Widows Server schien ("Wer braucht schon einen Radius Server, funktioniert ja auch so" ) scheint nun da es einfache wurde unter Linux solche Lösungen aufzubauen, auch dahin überzuschlagen.

Vergleichbar wäre da vielleicht manchmal mit der Autoindustrie, wer glaubt schon nur weil er eine Tuning Zylinderkopf selbständig einbauen konnte, könnte er eine Einspritzanlage so zu optimieren wie die Ingenieure in den Entwicklungsabteilungen der Autohersteller?

Servertechnik ist nunmal so Umfangreich geworden, das oft selbst tagelanges googlen nicht mehr hilft, da bleibt dann manchmal nur die man Pages der involvierten Programme vollkommen zu verstehen und Notfalls ein Blick in den Sourcekode zu werfen.
 
Selbst ein entsprechender Studiengang an einer Uni reicht bei der raschen Veränderung ders Umfeldes nicht immer aus, es sind halt Zeiten in denen auch ein versierter 'Einzelkämpfer' es nicht mehr Alleine schaffen kann umfangreiche system aufzubauen und gut abzusichern.

[stefan-becker]

Linux wurde erst in letzter Zeit für mich interessant, weil ich immer mehr die möglichkeiten dieses OS sehe. In unserem Studiengang (E-Technik) ist momentan die MS Plattform weit verbreitet. Aber in meiner Freizeit möchte ich mich auch mehr an Linux versuchen. Was ich aber nicht verstehe, den vServer den ich habe, läuft unter Debian mit Plesk und da gehört SMTP-Auth ohne Konfiguration dazu, wieso nicht beim SME?

Diese Firma ist nicht so mit Technik vertraut, sie hat mehr den direkten Draht nach oben Leider gehen die Einnahme immer mehr zurück und aus diesem grunde ist auch kein geld mehr für weitere IT Maßnahmen da.

Stefan

[capri]

Du solltest dir SME 7 wie zwei Rechner vorstellen, ein Gateway Server und ein lokalen Server.

Auf dem Gateway macht der SMTP Authentifizierung sogar sehr sicher über SSL, nicht SSL ist Standardmässig garnicht möglich (für POP,SMTP,IMAP).

Hebelt man nun die Gateway Funktionen aus, ist klar das er sich nach Aussen verhält wie ein ganz normaler Rechner ohne jedwede Sicherheit.

Eigentlich dürfte es garnicht um den SME 7 gehen, denn das Konzept ist bei allen BS, bedingt durch die Protokolle, ähnlich.

Grundsatz ist die Trennung von verschiedenen Routings und deren spezifische Behandlung.

Stell dir einfach den SME 7 wie ein großes Haus vor, im Erdgeschoss ist eine Gastätte, da kann Jeder rein (öffentliche Website) im ersten Stock ist ein Disco Club, da kommt man nur mit Ausweis rein (passwort geschütztes Ibay), im zweiten Stock sind Wohnungen, da kommtm man nur mit Schlüssel rein (Mail Accounts, über SSL Zertifikat geprüft), einige Bewohner haben für sich einen eigenen Clubraum, in dem nur sie dürften (spezielle nur lokal zugängliche Ibays).

So, ganz stark vereinfacht, funktioniert das, wird nun keine Wohnung mehr abgesperrt, kann jeder Gast der Gastätte auch Überall rein, und so ist das wie du deinen Server konfiguriert hast.

Das OpenRelay ist da nur die 'Spitze des Eisberges' weil es schnell auffällt, aber auch Script Kiddys und Andere könnne den Rechner für DoS Attacken als Relay oder um ihre Root Kits zu installieren benutzen, ganz wie es ihnen beliebt, den er liegt Offen vor ihnen.

[stefan-becker]

Also ich habe den SME als only Server installiert, denn als GW soll er ja derzeit gar nicht dienen. Ziel des System ist ein lokaler Mailserver und ein zentraler Speicher.

Habe ich das jetzt richtig verstanden, wenn ich den SME nur als only Server installiert habe, dann klappt das auch nicht mit dem SMTP-Auth?

Stefan

[capri]

'Nur Server' bedeutet er fungiert wie ein ganz normaler Server, ohne großen Schutz, eben wie auch ein W2K3 Server der installiert wurde aber nicht abgesichert.

Der Modus 'Nur Server' hat den zweck das der SME 7 in einer bereits bestehehenden Umgebung (Netzwerk) als (zusätzlicher) Server fungieren kann, Sichehreit und spezielle Anforderungen (Routing) muss dann die restliche Topologie übernehmen, wie Gateway Rechner, Firewall Rechner etc.

Ich glaube es wäre besser du würdest dir vor du an solche Aufgaben herangehst ein Buch über den Aufbau von Netzwerken unter Linux kaufen, nicht Böse gemeint, aber ohne die Grundlagen wirst du sonst noch oft 'Schiffbruch' erleiden.

[stefan-becker]

Aber W2K3 kann aber doch auch ohne weiteres SMTP-Auth?

Ja wie gesagt, bin gerade dabei mich einzuarbeiten und lese auch nebenbei schon die Fachliteratur.... leider drücken auch einige Klausuren

[capri]

Aber W2K3 kann aber doch auch ohne weiteres SMTP-Auth?

Default sind beim W2K3 alle Maildienste deaktiviert, auch wenn man Exchange installiert muss man Dienste wie POP3, und IMAP erst händisch aktivieren.

Ja wie gesagt, bin gerade dabei mich einzuarbeiten und lese auch nebenbei schon die Fachliteratur.... leider drücken auch einige Klausuren

Ist ja kein Problem ich mache das mit den Serverdiensten schon sehr Lange und bin trotzdem gegen Etliche die das noch nicht so Lange machen ein richtiger Depp

Vielleicht gibtst du mir ja einmal auch mal Hilfe bei einem Problem das ich nicht raffe?

Die Thematik ist halt Komlex, wer behauptet Alles und das Perfekt zu wissen, der ist enweder ein Lügner oder gehört zu den paar Hundert Weltweit für die das echt kein Problem ist (und die für ihre pure Anwesenheit schon 1.000 $ und mehr die Stunde kassieren).

[stefan-becker]

Benötige ich denn für den Gateway und Server Betrieb zwingend eine zweite Netzwerkkarte? In dem Rechner habe ich noch eine AVM ISDN Karte, da will er auch ein Netzwerk drauf einrichten.

Jetzt erreiche ich den Server auch nicht via SSH....

[capri]

Ein Netzwerk über ISDN? Gehem müßte das eigentlich, aber ich kenne nur einen Anbieter der eine ISDN Flaterate noch anbietet (M-NET), ansonst kann das recht Teuer werden und natürlich Langsam, für gelegentlich VPN Einwahl vielleicht noch OK.

Der Gatway/Server Betrieb braucht zwingend zwei Netzwerkkarten, aber die fünf Euro dürften doch kaum ins Gewicht fallen?

Eine ISDN Karte müßte da zur Not auch als eine Karte zählen, aber ausprobiert habe ich das noch Nie, was nicht geht sind die internen DSL Karten (AVM und Co.) die lassen sich nicht entsprechend benutzen.

[stefan-becker]

Also eine ISDN Flat gibt es auch von T-Online. Aber das ist gar nicht meine Absicht. Die ISDN Karte hatte ich übrig als ich den Rechner zusammen gebaut habe und ich hatte dann auch überlegt später mal einen Fax Server zu installieren.

Das externe Netz, also die Verbindung zum Router, muss ich dann auf die Netzwerkkarte hängen, wie dann die ISDN Karte konfiguriert ist, dürfte ja dann egal sein, weil da ja nichts hinterhängt.

Nochmal, dass ich das nicht Missverstanden habe. SMTP-Auth und sonstige Sicherungsmaßnahmen überninmmt der Gateway, der Server ist quasi das Backend?

Stefan

[capri]

Das Gateway, ist auch der Firewall alles was ausserhalb des internen Netzwerkes will oder von Ausserhalb rein muss da durch und wird geprüft, das lokale Netzwerk ist dagegen nur minimal Abgesichert.

Der SME 7 ist halt ein Home/SOHO Server, bei aufwendigeren Serverlösungen kann auch das interne Netzwerk in mehrere Segmente unterteilt werden, die jeweils gewisse Sicherheits, Dienst und Prüfungs Instanzen auch auf den lokalen Daten-Verkehr anwenden, so ein System ist dann aber nicht mehr 'Out-of-the-Box' zu realisieren, da muss dann schon eine Menge KnowHow eingesetzt werden.

[stefan-becker]

Also mit der ISDN Karte verhaspelt er sich... ich kann dann nicht mehr ins Netz. Ich werde mal in meiner Kramkiste eine Karte suchen

[capri]

Was sagt den /var/log/messages dazu?

Probleme bei der Einwahl und Anmeldung?

Den das es von T-Online noch eine ISDN Flaterate gibt will ich bezweifeln, siehe auch:
http://www.heise.de/newsticker/meldung/15688

ist von 2001.

[FraunhoferIFF]

@Capri
ne die Flat gibt es ,,, hab ich auch beim Kunden... Bloß kannste den SME nicht als ISDN Router verwenden.. Hatte ich auch schon mal vor..


bin dann bei Bintec gelandet und hab dadurch keine Probleme mehr mit der Einwahl.

[stefan-becker]

Wird der Realtek 8139 unterstützt?

[capri]

@FraunhoferIFF
Tja, man lernt Nie aus, dachte die haben die ISDN Flat seitdem ganz aus den Programm genommen bei der T-Com.

Wird der Realtek 8139 unterstützt?

Die Netzwerkkarten  mit dem Realtek 8139 (100 MBit) oder 8169 (1000 MBit) Chipsatz funktionieren bestens im SME 7, Beide schon ausprobiert, bzw. im Einsatz.
 

[stefan-becker]

OK, ich habe nun die neue Netzwerkkarte eingesetzt.

Unser Router für das Internet besitzt die 192.168.3.1.

Folgende Einstellungen habe ich jetzt vorgenommen:

Lokale IP: 192.168.4.1
Subnet: 255.255.255.0

Server und Gateway - direkt
Statische IP Adresse

Externe IP: 192.168.3.2
Subnet: 255.255.255.0
Gateway IP 192.168.3.1
DNS 192.168.3.1

Also ist es doch so:

    Router---------------eth0----------eth1-------
192.168.3.1              192.168.3.2   192.168.4.1

Leider kann ich nicht den Router anpingen. Ich habe auch schon das Kabel an den Netzwerkkarten getauscht...

Liegt da ein Denkfehler von mir vor?

Stefan

[stefan-becker]

Ok, nach einigen Umstecken und unkonfigurieren, klappt das nun alles. Aber leider immer noch ohne SMTP-Auth?

Wo könnte das Problem liegen?

[FraunhoferIFF]

unkonfigurieren

ist genau das richtige Wort.

1. Bitte prüfe ob Du noch "alle" Netze als vertrauenswürdig eingetragen hast.

2. Prüfe ob Du vom Router 192.168.3.1 , auf das eth0 192.168.4.1 oder einen Client dahinter pingen kannst.

Melde Dich mit dem Ergebniss


P.s.

Wo könnte das Problem liegen?

ca. 50 cm vorm Bildschirm vermute ich 

[MIB]

Mahlzeit!
Letzte Woche dachte ich auch, dass der SME zur Spam Schleuder geworden ist. Der SME admin schickte mir alle 5 Minuten Warnmails dass gerade wieder 90 Mails eingeangen wären. In der Queue vom Exchange häuften sich massenweise unzustellbare Mails an. Nachdem ich kurzzeitg den Port 25 ausgehend dicht gemacht hatte war trotzdem keine Besserung abzusehen. Erst ein Blick in die Header der unzustellbaren Mails offenbarte die Misere. Meine Domäne wurde "missbraucht" - von Spamservern in Frankreich. So kam ich in einem Tag auf stolze 11.700 eingehende Mails mit dazugehörigem Trafficaufkommen. Schlussendlich beruhigte sich am nächsten Tag die Lage langsam wieder. Teilweise hatte der SME ein Prozessor-Auslastung von 100% und war demenstprechend zäh anzusprechen.
Mir halfen dabei der SME Admin sowie diverse Open Relay Seiten (z.B. http://www.abuse.net/relay.html) um eigene Fehler ausschließen zu können.

MIB

[capri]

Siehste, der SME kann Nichts dafür, war bei mir Damals (Exchange 2000 als Mailer) genauso, nur hatte ich alleine als Rückläufer ("Empfänger existiert nicht" etc.) täglich über 20.000 Mails

Das Problem daran, man gerät leicht auf die SPAM Listen der Spamfilter Anbieter und kann nichts dafür

Der Rechtsweg ist im Ausland auch schwierig und teuer, rentiert sich meißt wohl nicht da was zu machen (Anzeige), weil es nichts dabei rauskommt außer Anwaltskosten

[MIB]

Ja, nur diese Sicherheit muss man erst mal erfahren.
Na ja, auf die Spamliste kommt man bei solchen Aktionen nicht gleich - ein Blick in den Header gibt wie gesagt schnell Aufschluss.
Rechtliche Schritte? Full ack - die kannst vergessen.
Mein Domain Hoster meinte nur - ja, war ein schwarzer Tag aber ich soll mich beruhigen andere Domainen hätte es viel schlimmer erwischt. Als ob das ein wirklicher Trost sein kann. 

MIB

[stefan-becker]

1. Bitte prüfe ob Du noch "alle" Netze als vertrauenswürdig eingetragen hast.

Dort habe ich jetzt nur das 192.168.4.0 mit 255.255.255.0 drin.

2. Prüfe ob Du vom Router 192.168.3.1 , auf das eth0 192.168.4.1 oder einen Client dahinter pingen kannst.

ich habe einen Client mit der IP 192.168.3.2 hinzugesetzt. Wenn ich nun als Gateway nun den 192.168.3.2 einsetze, kann ich den 192.168.4.1 anpingen, einen Client mit der IP 192.168.4.40 aber nicht.

[capri]

Mit Netmask 255.255.255.0 sagst du dem Routing ja das nur geroutet werden darf was 192.168.4.0 - 255 als Adresse hat, für 192.168.3.x bräuchtest du aber eien Netmask a la 255.255.0.0

Aber Hier http://de.wikipedia.org/wiki/IP-Adresse findest du das viel Besser und Genauer erklärt.

[stefan-becker]

Aber das 192.168.4.0 und 255.255.255.0 setzt der SME ja selber und ich kann das nicht ändern. Aber ich kann ja aus dem 192.168.3.0 Netz den 192.168.4.1 erreichen.

Die Frage die sich aber mir stellt, warum er immer noch nicht SMTP-Auth macht?