Connectoren - Verständnisfrage

1. offizieller Beitrag

    Hallo zusammen,


    ich hätte eine "kleine" Verständnisfrage...


    Mir ist in mehreren Exchange Umgebungen aufgefallen, dass ich per telnet intern Anonym Mails verschicken kann.
    Heißt für mich, jeder der sich ein wenig mit Telnet auskennt kann intern von der Adresse vom Geschäftsführer oder der gleichen E-Mails versenden.


    Standardmäßig ist ja im Exchange das interne Relay, also das anonyme Senden von Mails an die akzeptieren Domains erlaubt.


    Kann dies irgendwie eingeschränkt werden? Wäre es sinnvoll den Standard Connector, welcher auf Port 25 horcht auf die IP der Firewall zu begrenzen? (Meistens eine Sophos UTM mit Mail Protection)
    Oder verbaut man sich hier einiges?


    Danke!


    LG
    Maier

    • Offizieller Beitrag
    Zitat von Maier

    Heißt für mich, jeder der sich ein wenig mit Telnet auskennt kann intern von der Adresse vom Geschäftsführer oder der gleichen E-Mails versenden.

    Probiers aus. ;) Ja prinzipiell geht das. wenn du das nicht willst, mußt du dafür sorgen, dass bspw. per Filter oder Connector-Einschränkungen greifen. Wenn sonst niemand Mails einliefert ausser deine Sophos, dann kann man das einschränken. Wobei ich dann trotzdem für die Sophos einen neuen Connector anlegen würde und den Default Connector so lassen würde. Du kannst ja auch an der Host-Firewall des Exchangeservers den Port 25 für das interne Netz droppen bzw. nur die Sophos zulassen. Als Info Exchange 2007 und 2010 haben keine anonymen Mails per Default zugelassen. Man kann also einen neuen Connector für die Sophos anlegen und am Default Frontend Connector die Anonymen Nutzer entfernen. Dann sollte dein Ziel am sinnvollsten erreicht sein.

    Vielen Dank für die Antwort Norbert.


    Ich bin ja der Freund eigentlich die Standard-Konfigurationen zu lassen. Jedoch sehe ich dies als "Sicherheitsrisiko".
    Wer will schon, dass jemand in meinem Namen E-Mails versendet, auch wenn nur intern :)

    • Offizieller Beitrag
    Zitat von Maier

    Vielen Dank für die Antwort Norbert.


    Ich bin ja der Freund eigentlich die Standard-Konfigurationen zu lassen. Jedoch sehe ich dies als "Sicherheitsrisiko".
    Wer will schon, dass jemand in meinem Namen E-Mails versendet, auch wenn nur intern :)

    Sehe ich nicht so.
    Ich betreue Bundesweit ein paar Hundert Systeme, mittels Telnet gab es keinen mir bekannten Fall. ;)

    • Offizieller Beitrag
    Zitat von Maier

    Ich bin ja der Freund eigentlich die Standard-Konfigurationen zu lassen. Jedoch sehe ich dies als "Sicherheitsrisiko".

    Hab ich an irgendeiner Stelle geschrieben, dass ich das nicht prinzipiell "ähnlich" sehe? Ich hab dir sogar zwei unterschiedliche Lösungen gegeben, wie du dieses "Sicherheitsrisiko" beheben kannst, so das denn willst.


    Bye
    Norbert

    Zitat von NobbyausHB

    Sehe ich nicht so.Ich betreue Bundesweit ein paar Hundert Systeme, mittels Telnet gab es keinen mir bekannten Fall. ;)


    Aber es ist bei deinen Systemen auch möglich dass User-XY Telnet aufmachen könnte und intern eine Mail an jemand anderen in der gleichen Organisation senden kann oder?

    • Offizieller Beitrag
    Zitat von Maier

    ber es ist bei deinen Systemen auch möglich dass User-XY Telnet aufmachen könnte und intern eine Mail an jemand anderen in der gleichen Organisation senden kann oder?

    Vermutlich, da das die Standardeinstellung seit Exchange 2013 ist und auch in 2010 hat fast jeder den Haken im Standardconnector für anonyme Anmeldungen gesetzt, anstatt einen eigenen Connector zu nutzen.

    • Offizieller Beitrag

    Telnet ist das erste, was ich nachinstalliere. :)


    Aber im Ernst: Im Header der Mail und in den Exchange Logs steht die IP-Adresse des Clients, der die Mail eingeliefert hat. Es dauert für einen Admin also 30 Sekunden, den Spaßvogel zu finden und ob dann auch noch "Spaß" hat, wage ich zu bezweifeln.