Topic: SME als Spam Schleuder?!

[stefan-becker]

Hallo,

wir wurden heute durch unseren Provider gesperrt, weil am Sonntag über 60.000 Spams Mails verschickt worden sollen sein. Jetzt möchte ich natürlich nachprüfen ob dieses über den SME geschehen ist und wenn ja, welcher Benutzer. In welchem Log werden die smtp zugriffe protokolliert?

Stefan

[stefan-becker]

P.S. Ich habe es gerade überprüft (ich dachte das hätte ich bei in Betriebnahme auch gemacht), werden auch Mails ohne SMTP-Auth angenommen. Wo kann ich das aktivieren?

Stefan

[FraunhoferIFF]

http://forums.contribs.org/index.php?topic=34071.0

[capri]

Normalerweise ist der SME 7 sehr Relaysicher, ist allerdings ein User Account gehackt worden könnnen Externe Spams verschicken, ist dazu noch ein rootkit oder Änhliches installiert, dann kann ein Externer auch Spam Scripte ausführen.

Erster Schritt wäre, von Provider eine dieser Mails als Textfile zu bekommen, damit man das Routing in Header nachprüfen kann, denn oft werden auch Domains über andere OpenRelay (meißt im Ausland) missbraucht, bei mir war das mal der Fall als täglich etwa 20.000 Rückläufer kamen obwohl mein Mailserver sicher war.

Rechtlich hat man gegen solchen Domainmissbrauch aber leider kaum eine Chance wenn der Schlimmfinger im Ausland sitzt

Das Andere wäre den SME 7 Server mit z.B. der CT Knoppix CD (verwendet 3 verschiedene Virenscanner) generell mal auf Viren zu checken und alle Einstellungen zu prüfen, den mit den Standardeinstellungen, die auch nicht so ganz einfach zu ändern sind, ist der SME 7 im Bereich Mail eigentlich hervorragend abgesichert.

Es gibt auch Websites die einen Service (kostenlos) anbieten um den eigenen Server auf Relaysicherheit prüfen zu lassen, dies ist natürlich keine 100%ige Sicherheit, aber ansonsten recht hilfreich beim aufdecken von Fehlern bei den Einstellungen.

Eine dieser Testeiten:
http://www.abuse.net/relay.html
oder
http://members.iinet.net.au/~remmie/relay/

[stefan-becker]

Na ja das Problem, dass er ja nicht SMTP-Auth durchführt. Ich habe ja in der relayclient liste, alle Netze aufgenommen, da wir auch einige Aussenstellen haben, die auf den Mail Server zugreifen müssen/sollen. Daher wird in dieser Sache der Schutz der Berchtigung via IP Adresse aufgehoben. Daher die Frage, warum er kein SMTP-Auth durchführt??

Stefan

[capri]

Wenn eure Aussenstelle eine feste IP hat, dann wäre es doch möglich nur diese als vertauenswürdig einzutragen, damit wären alle anderen IP von Aussen den Standardregeln unterworfen.

Wenn keine feste IP vorhanden ist wäre eventuell eine Lösung mit jeweils einen (Hardware) VPN Router vor den SME7 und bei der Aussenstelle eine Lösung?

So wie ich das Jetzt verstehe habt ihr praktisch das ganze Internet als lokales Netzwerk deklariert und somit auch einige wichtige Sicherheitseinstellungen ausgehebelt.

Das ist Fatal, denn wird von den etablierten Spam Filter Anbietern eine Domain als OpenRelay erkannt landet sie schnell auf deren Liste und dann wird es schwierig manche E-Mail Adressen im Internet noch zu erreichen, vom Imageschaden für die Domain/Firma ganz abgesehen.

[stefan-becker]

Hallo,

leider hat keiner der Standorte eine feste IP (Kostenfaktor). Wir haben am Stammsitz eine Siemens HiPath stehen über die VoIP läuft, diese kann IPSec, aber dann auch wieder nur ein spezielles, so dass der norname IPSec Client nicht funktioniert. Spezieller Hardware fällt wegen Kostengründen auch erstmal weg.  Nun hatten wir ja PPTP versucht, aber leider macht da die Siemens wieder nicht mit. Wir wollen daher in Zukunft openVPN ans laufen bringen, aber jetzt muss es erstmal so gehen. Wenn der SME ja SMTP-Auth machen würde, hätten wir erst kein Problem. Wie bekomme ich es also hin, dass egal aus welchen Netz SMTP-Auth ausgeführt wird?

[cactus]

Hallo,

leider hat keiner der Standorte eine feste IP (Kostenfaktor). Wir haben am Stammsitz eine Siemens HiPath stehen über die VoIP läuft, diese kann IPSec, aber dann auch wieder nur ein spezielles, so dass der norname IPSec Client nicht funktioniert. Spezieller Hardware fällt wegen Kostengründen auch erstmal weg.  Nun hatten wir ja PPTP versucht, aber leider macht da die Siemens wieder nicht mit. Wir wollen daher in Zukunft openVPN ans laufen bringen, aber jetzt muss es erstmal so gehen. Wenn der SME ja SMTP-Auth machen würde, hätten wir erst kein Problem. Wie bekomme ich es also hin, dass egal aus welchen Netz SMTP-Auth ausgeführt wird?

So wie gesagt haben Sie die SME Server geoöffnet zum Welt als LAN, ich denke das deswegen SMTP-Auth nicht durchgefürt werd durch SME Server. Um das zu änderes ist ein Sache ohne End denk ich.

Deswegen wurde ich sagen das du gleich den Lokal Access der Server änderen und schutzen muss, damit Ihren Server keinen Relay mehr ist, weil es keinen zweck hat es so zu lassen, weil mann nicht von Spamlist genommen wird.

Nächste aktion ist, so schnell möglich VPN möglich machen und während das nicht fertig ist nur webmail benutzen lassen für Senden von Mail. Wann Sie IMAPS (entweder POPS) aktivieren können Ihre Domain Members noch immer Mail erhalten in ihrer Mailprogramme, nur senden wird damit nicht funktionieren.

[stefan-becker]

Ich habe im Wiki diesen Artikel gefunden http://wiki.contribs.org/Email#How_do_I_enable_smtp_authentication_for_users_on_the_internal_network.

Wenn ich das doch richtig verstanden habe, müsste doch nach den Zeilen dann SMTP-Auth für jeden gelten?

Stefan

[stefan-becker]

Aber leider klappt das auch nicht

[FraunhoferIFF]

@Carpi , es ist mal wieder Zeit Sarkastisch zu werden
manchmal wünsch ich mir auch den Zauberstab von Harry Potter.

Ich wollt mir eben mal dein Problem ansehen und war drauf und dran Dir auch zu helfen.

Mach Dir , bitte, erstmal nen Plan wie du dein Netz in den Griff bekommst.
Und wenn deine Chefs nicht das Geld für nen sicheres Netz haben,dann könnten Sie auch das für den SME sparen und  sollen sie die Mails bei gmx abholen..

Ich habe bis Heute keinen gekannt der als Relay mit dem SME diente.
Aber wenn man sieht wie du an die sache rangestehst , brauchst dich auch nicht wundern.

Vielleicht holt ihr euch mal Professionelle Hilfe?

Marcel

[stefan-becker]

Also ich denke mal, dass meine Überlegung nicht ganz so übertrieben ist. Jeder normale Mailserver kann doch SMTP-Auth und das ist das einzige was ich brauche! Ich verstehe auch nicht warum der SME nicht standardmäßig das macht, denn wenn ich den SME als GW betreiben möchte und den Zugang zum externen Port 25 sperre, dann doch nicht um den SME als offenes Relay zu betreiben? In Uni Netzen wird dies ja auch schon seit längerer Zeit betrieben.

[psc]

...
Aber wenn man sieht wie du an die sache rangestehst , brauchst dich auch nicht wundern.

Vielleicht holt ihr euch mal Professionelle Hilfe?

Marcel

Daher sehe ich das wachsende wiki auch mit gemischten Gefühlen.
Hier entsteht leicht der Eindruck, als währe die Einrichtung und Administration eines SME´s, der immerhin u.a. Firewall, Mailserver, Fileserver oder DC spielen dann, ein Kinderspiel.

Ich kann nur untersteichen:
Holt Euch professionelle Hilfe, wenn Ihr einen SME professionell einsetzen wollt !

[capri]

@Carpi , es ist mal wieder Zeit Sarkastisch zu werden

Das ist es Ja was mir am deutschsprachigem SME Forum schon länger auffällt, der SME 7 ist so einfach zu handhaben das Einsteiger leider schnell auf den 'Trichter' kommen man könnte damit ganz einfach auch komplexeste Anforderungen erledigen.

Wer sich schon mit *BSD oder Gentoo befasst hat weiß aber meißt was hinter der Fassade  eines Unix basierden BS steckt und wie schwierig es sein kann spezielle Lösungen funktionierend zu erstellen.

Meine ich mache über 25 Jahre am Software Geschichten rum, manchmal wünschte ich mir aber auch ich hätte die Mittel mir bereichspezifischen prof. Unterstützung leisten zu können, den Alles weiß Keiner und die Anforderungen werden immer Komplexer.

ZUm Ursprungsposter, eine Firma die Aussenstellen hat, sollte sich doch zumindest Gedanken machen ob es nicht Billiger ist ein paar VPN Router anzuschaffen die die Router MAC Adresse als eindeutige Identzifizierung übertragen können und Realtime verschlüsseln/entschlüsseln, als einen Image Verlust zu riskieren durch ein OpenRelay.

Was lange Zeit nur als ein Problem von Widows Server schien ("Wer braucht schon einen Radius Server, funktioniert ja auch so" ) scheint nun da es einfache wurde unter Linux solche Lösungen aufzubauen, auch dahin überzuschlagen.

Vergleichbar wäre da vielleicht manchmal mit der Autoindustrie, wer glaubt schon nur weil er eine Tuning Zylinderkopf selbständig einbauen konnte, könnte er eine Einspritzanlage so zu optimieren wie die Ingenieure in den Entwicklungsabteilungen der Autohersteller?

Servertechnik ist nunmal so Umfangreich geworden, das oft selbst tagelanges googlen nicht mehr hilft, da bleibt dann manchmal nur die man Pages der involvierten Programme vollkommen zu verstehen und Notfalls ein Blick in den Sourcekode zu werfen.
 
Selbst ein entsprechender Studiengang an einer Uni reicht bei der raschen Veränderung ders Umfeldes nicht immer aus, es sind halt Zeiten in denen auch ein versierter 'Einzelkämpfer' es nicht mehr Alleine schaffen kann umfangreiche system aufzubauen und gut abzusichern.

[stefan-becker]

Linux wurde erst in letzter Zeit für mich interessant, weil ich immer mehr die möglichkeiten dieses OS sehe. In unserem Studiengang (E-Technik) ist momentan die MS Plattform weit verbreitet. Aber in meiner Freizeit möchte ich mich auch mehr an Linux versuchen. Was ich aber nicht verstehe, den vServer den ich habe, läuft unter Debian mit Plesk und da gehört SMTP-Auth ohne Konfiguration dazu, wieso nicht beim SME?

Diese Firma ist nicht so mit Technik vertraut, sie hat mehr den direkten Draht nach oben Leider gehen die Einnahme immer mehr zurück und aus diesem grunde ist auch kein geld mehr für weitere IT Maßnahmen da.

Stefan