Bestimmte HELO/EHLO Kennungen blocken?

1. offizieller Beitrag

    [Exchange 2003 direkt per SMTP, statische IP]


    Hallo,


    wenn ich mir die Logs des SMTPSVC anschaue dann fällt mir auf, das von ziemlich vielen unterschiedlichen IP-Adressen Verbindungsversuche reinkommen, um Junkmail abzusetzen... das ist ja nicht unbedingt was neues (nicht das es gelingen würde - die bekommen alle einen SMTP-Error 550 zurück, sei es wegen SPF oder Blacklists).


    Interessant ist: erstaunlich viele davon identifizieren sich mit einem EHLO namens "friend" - könnte das also ein Netz aus Zombie-Rechnern sein, oder sowas?


    Daraus ergibt sich natürlich die Frage: gibt es eine Möglichkeit, bestimmte HELO/EHLO Kennungen gleich von Haus aus zu blocken? Andere Versuche tragen die Kennung "localhost" oder die IP-Adr. unseres Servers - sehr kreativ, die Jungs...

    • Offizieller Beitrag

    EHLO/HELO kann so nicht geblockt werden. Dies muss auch erlaubt werden, wenn sich Exchange Server untereinander unterhalten.


    RFC


    Hier stellt sich mir die Frage: KÄnnen diese sich nur identifizieren oder authentifizieren die sich.


    Wenn sich diese nur identifizieren ist das nicht schlimm.
    Sollten sich die allerdings authentifizieren, so solltest Du mal das Logging für Transport Kategorie Authentifzierung auf 7 setzen.


    HKLM\System\CurrentControlSet\Services\MSExchangeTransport\Diagnostics


    und dann im Anwendungsprotokoll auf die Event 1708 erfolgreiche Authentifizierung überpürfen.


    Ansonsten RBL oder die weiteren Filtermöglichkeiten im Exchange System Manager unter Globale Einstellungen deinen Server sichern.

    Zitat


    Jürgen schrieb:
    dann kann momentan nichts schiefliegen.


    Das ist eine weise Formulierung. :)

    Kleiner Nachtrag: es ist offensichtlich möglich, bestimmte HELO/EHLO Kennungen zu blockieren - jedenfalls bei EXIM. :)


    Siehe http://vamos-wentworth.org/exim-tricks.html


    Un das macht eigentlich durchaus Sinn - es kann halt einfach gar nicht sein, dass sich ein ordentlich konfiguriertes Remote-System a) mit der IP-Adr. unseres Servers meldet oder b) als "localhost" meldet oder c) keinen FQDN oder zumindest ordentliche IP-Adr. als HELO/EHLO übergibt.


    Wenn ich mir anschaue wie viele Verbindungen von "friend" und "localhost" täglich bei uns eingehen, dann wäre die Möglichkeit hier gleich die Tür zuzumachen zur Spamvermeidung wirklich SEHR angenehm - und so simpel!

    Hi grblzbx,


    warum machst du nicht folgendes:


    Exchange ist ein super Produkt. Aber natürlich sind die Möglichkeiten eingeschränkt, da es kein Open Source ist und sämtliche Tools zum Filtern richtig teuer sind.


    Viele Firmen haben Exchange Server nutzen aber für Extern ein Mail Relay / Gateway.


    D.h. du setzt vor deine Exchange Server z.b. ein ein Linux System wie Debian auf und machst dann Exim drauf.


    Mit Exim kannst du schon ein paar Filteregeln machen und es so Einstellen wie du es gerne hättest.


    So kann dein Exim Relay (vor dem Exchange) schonmal das grobe rausfiltern und der Rest macht dann Exchange.


    Dies steigert übrigens enorm die Sicherheit, da deine Exchange Server so von aussen nicht direkt zugänglich sind.


    Und von einigen Systemprofis wird dies sogar empfohlen. So kannst du komplett Exchange laufen lassen, von extern sind jedoch noch Exim Server die 1. schützen und schonmal vorweg filtern :)


    Was meinste?

    viele Grüsse


    StevensDE

    Klar, darauf wird es über kurz oder lang sowieso hinauslaufen. Mir ging es eher um die prinzipielle Möglichkeit, weil es vorher hiess "geht nicht/darf man nicht". Ich persönlich bin der Meinung: wenn einer sich nicht den Spielregeln entsprechend meldet, dann kann er auch nicht erwarten, dass die Mail angenommen wird. :-x


    Wobei ich eigentlich gerne ein Windows-System vor dem Exchange hätte um GFI MSEC/ME (ist halt einfach der beste Spamfilter den man dem IMF2 nachschalten kann) im SMTP-Modus laufen zu lassen (sind derzeit direkt auf dem Exchange-Server, gefällt mir gar nicht).


    Dann kann ich mir die HELO/EHLO Filterung aber auch wieder abschminken, es sei denn ich finde ein Windows-Produkt, dass das auch kann. :)

    Hi,


    was du auch machen kannst.


    Du machst auf einem PC einfach Windows Server 2003 drauf. Dort installierst du dann nur den virtuellen Standardserver für SMTP.


    Wichtig > Kein Exchange installieren auf diesem PC und dieser PC sollte nach Möglichkeit NICHT Mitglied der Domäne sein.


    D.h. dieser Server macht nur eins: SMTP Port 25, GFI MSEC/ME usw.


    In dem virtuellen Standardserver für SMTP definierst du dann einfach die Domains. Dort fügst du dann z.b. eine neue Remotedomäne hinzu "eurefirma.de" trägst im ein wohin er die Mails relayen soll (eurer interner exhange) und dann werden alle Mails @eurefirma.de angenommen bearbeitet und dann an euren internen Exchange geleitet.


    Und da GFI usw. installiert ist, kannst du bequem deine Filter laufen lassen. GFI braucht kein Exchange. Es kann auch einfach auf einem Server installiert werden, wo nur der virtuelle Standardserver für SMTP läuft.


    GFI ist theoretisch so gut, dass es laut Hersteller 94% aller Spam mails korrekt erkennt und diese filtert.


    Somit ist doch der Filter bzw. das blocken von HELO/EHLO Kennungen eigentlich unwichtig.


    Ich kenne kaum jemand der dies macht.


    Alternative Möglichkeit:


    2 Externe Server:


    1. Linux > EXIM hat nur die Aufgabe ehlo/helo zu blocken und sendet dann an
    2. Windows Relay (nur Standardserver SMTP) dieser macht dann GFI usw.
    und relayed die Mails letzlich an deinen internen Exchange in der Domäne.


    Ich habe mich sehr mit Sicherheit, Spam usw. beschäftigt und das sind eigentich die besten Möglichkeiten die es gibt, welche ich dir gerade aufgezählt habe.


    Die Entscheidung triffst du, ich finde alle Möglichkeiten gut.

    viele Grüsse


    StevensDE