Topic: SME als Spam Schleuder?!

[capri]

Du solltest dir SME 7 wie zwei Rechner vorstellen, ein Gateway Server und ein lokalen Server.

Auf dem Gateway macht der SMTP Authentifizierung sogar sehr sicher über SSL, nicht SSL ist Standardmässig garnicht möglich (für POP,SMTP,IMAP).

Hebelt man nun die Gateway Funktionen aus, ist klar das er sich nach Aussen verhält wie ein ganz normaler Rechner ohne jedwede Sicherheit.

Eigentlich dürfte es garnicht um den SME 7 gehen, denn das Konzept ist bei allen BS, bedingt durch die Protokolle, ähnlich.

Grundsatz ist die Trennung von verschiedenen Routings und deren spezifische Behandlung.

Stell dir einfach den SME 7 wie ein großes Haus vor, im Erdgeschoss ist eine Gastätte, da kann Jeder rein (öffentliche Website) im ersten Stock ist ein Disco Club, da kommt man nur mit Ausweis rein (passwort geschütztes Ibay), im zweiten Stock sind Wohnungen, da kommtm man nur mit Schlüssel rein (Mail Accounts, über SSL Zertifikat geprüft), einige Bewohner haben für sich einen eigenen Clubraum, in dem nur sie dürften (spezielle nur lokal zugängliche Ibays).

So, ganz stark vereinfacht, funktioniert das, wird nun keine Wohnung mehr abgesperrt, kann jeder Gast der Gastätte auch Überall rein, und so ist das wie du deinen Server konfiguriert hast.

Das OpenRelay ist da nur die 'Spitze des Eisberges' weil es schnell auffällt, aber auch Script Kiddys und Andere könnne den Rechner für DoS Attacken als Relay oder um ihre Root Kits zu installieren benutzen, ganz wie es ihnen beliebt, den er liegt Offen vor ihnen.

[stefan-becker]

Also ich habe den SME als only Server installiert, denn als GW soll er ja derzeit gar nicht dienen. Ziel des System ist ein lokaler Mailserver und ein zentraler Speicher.

Habe ich das jetzt richtig verstanden, wenn ich den SME nur als only Server installiert habe, dann klappt das auch nicht mit dem SMTP-Auth?

Stefan

[capri]

'Nur Server' bedeutet er fungiert wie ein ganz normaler Server, ohne großen Schutz, eben wie auch ein W2K3 Server der installiert wurde aber nicht abgesichert.

Der Modus 'Nur Server' hat den zweck das der SME 7 in einer bereits bestehehenden Umgebung (Netzwerk) als (zusätzlicher) Server fungieren kann, Sichehreit und spezielle Anforderungen (Routing) muss dann die restliche Topologie übernehmen, wie Gateway Rechner, Firewall Rechner etc.

Ich glaube es wäre besser du würdest dir vor du an solche Aufgaben herangehst ein Buch über den Aufbau von Netzwerken unter Linux kaufen, nicht Böse gemeint, aber ohne die Grundlagen wirst du sonst noch oft 'Schiffbruch' erleiden.

[stefan-becker]

Aber W2K3 kann aber doch auch ohne weiteres SMTP-Auth?

Ja wie gesagt, bin gerade dabei mich einzuarbeiten und lese auch nebenbei schon die Fachliteratur.... leider drücken auch einige Klausuren

[capri]

Aber W2K3 kann aber doch auch ohne weiteres SMTP-Auth?

Default sind beim W2K3 alle Maildienste deaktiviert, auch wenn man Exchange installiert muss man Dienste wie POP3, und IMAP erst händisch aktivieren.

Ja wie gesagt, bin gerade dabei mich einzuarbeiten und lese auch nebenbei schon die Fachliteratur.... leider drücken auch einige Klausuren

Ist ja kein Problem ich mache das mit den Serverdiensten schon sehr Lange und bin trotzdem gegen Etliche die das noch nicht so Lange machen ein richtiger Depp

Vielleicht gibtst du mir ja einmal auch mal Hilfe bei einem Problem das ich nicht raffe?

Die Thematik ist halt Komlex, wer behauptet Alles und das Perfekt zu wissen, der ist enweder ein Lügner oder gehört zu den paar Hundert Weltweit für die das echt kein Problem ist (und die für ihre pure Anwesenheit schon 1.000 $ und mehr die Stunde kassieren).

[stefan-becker]

Benötige ich denn für den Gateway und Server Betrieb zwingend eine zweite Netzwerkkarte? In dem Rechner habe ich noch eine AVM ISDN Karte, da will er auch ein Netzwerk drauf einrichten.

Jetzt erreiche ich den Server auch nicht via SSH....

[capri]

Ein Netzwerk über ISDN? Gehem müßte das eigentlich, aber ich kenne nur einen Anbieter der eine ISDN Flaterate noch anbietet (M-NET), ansonst kann das recht Teuer werden und natürlich Langsam, für gelegentlich VPN Einwahl vielleicht noch OK.

Der Gatway/Server Betrieb braucht zwingend zwei Netzwerkkarten, aber die fünf Euro dürften doch kaum ins Gewicht fallen?

Eine ISDN Karte müßte da zur Not auch als eine Karte zählen, aber ausprobiert habe ich das noch Nie, was nicht geht sind die internen DSL Karten (AVM und Co.) die lassen sich nicht entsprechend benutzen.

[stefan-becker]

Also eine ISDN Flat gibt es auch von T-Online. Aber das ist gar nicht meine Absicht. Die ISDN Karte hatte ich übrig als ich den Rechner zusammen gebaut habe und ich hatte dann auch überlegt später mal einen Fax Server zu installieren.

Das externe Netz, also die Verbindung zum Router, muss ich dann auf die Netzwerkkarte hängen, wie dann die ISDN Karte konfiguriert ist, dürfte ja dann egal sein, weil da ja nichts hinterhängt.

Nochmal, dass ich das nicht Missverstanden habe. SMTP-Auth und sonstige Sicherungsmaßnahmen überninmmt der Gateway, der Server ist quasi das Backend?

Stefan

[capri]

Das Gateway, ist auch der Firewall alles was ausserhalb des internen Netzwerkes will oder von Ausserhalb rein muss da durch und wird geprüft, das lokale Netzwerk ist dagegen nur minimal Abgesichert.

Der SME 7 ist halt ein Home/SOHO Server, bei aufwendigeren Serverlösungen kann auch das interne Netzwerk in mehrere Segmente unterteilt werden, die jeweils gewisse Sicherheits, Dienst und Prüfungs Instanzen auch auf den lokalen Daten-Verkehr anwenden, so ein System ist dann aber nicht mehr 'Out-of-the-Box' zu realisieren, da muss dann schon eine Menge KnowHow eingesetzt werden.

[stefan-becker]

Also mit der ISDN Karte verhaspelt er sich... ich kann dann nicht mehr ins Netz. Ich werde mal in meiner Kramkiste eine Karte suchen

[capri]

Was sagt den /var/log/messages dazu?

Probleme bei der Einwahl und Anmeldung?

Den das es von T-Online noch eine ISDN Flaterate gibt will ich bezweifeln, siehe auch:
http://www.heise.de/newsticker/meldung/15688

ist von 2001.

[FraunhoferIFF]

@Capri
ne die Flat gibt es ,,, hab ich auch beim Kunden... Bloß kannste den SME nicht als ISDN Router verwenden.. Hatte ich auch schon mal vor..


bin dann bei Bintec gelandet und hab dadurch keine Probleme mehr mit der Einwahl.

[stefan-becker]

Wird der Realtek 8139 unterstützt?

[capri]

@FraunhoferIFF
Tja, man lernt Nie aus, dachte die haben die ISDN Flat seitdem ganz aus den Programm genommen bei der T-Com.

Wird der Realtek 8139 unterstützt?

Die Netzwerkkarten  mit dem Realtek 8139 (100 MBit) oder 8169 (1000 MBit) Chipsatz funktionieren bestens im SME 7, Beide schon ausprobiert, bzw. im Einsatz.
 

[stefan-becker]

OK, ich habe nun die neue Netzwerkkarte eingesetzt.

Unser Router für das Internet besitzt die 192.168.3.1.

Folgende Einstellungen habe ich jetzt vorgenommen:

Lokale IP: 192.168.4.1
Subnet: 255.255.255.0

Server und Gateway - direkt
Statische IP Adresse

Externe IP: 192.168.3.2
Subnet: 255.255.255.0
Gateway IP 192.168.3.1
DNS 192.168.3.1

Also ist es doch so:

    Router---------------eth0----------eth1-------
192.168.3.1              192.168.3.2   192.168.4.1

Leider kann ich nicht den Router anpingen. Ich habe auch schon das Kabel an den Netzwerkkarten getauscht...

Liegt da ein Denkfehler von mir vor?

Stefan