PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : sendmail 8.12.3 Sicherheit? Konfiguration?



PTSA
15.08.02, 10:12
Hallo Forum,

habe hier ein kleines Problem mit Sendmail 8.12.3 (wohl unter Linux). Wenn ich mich per Telnet von aussen am SMTP Port anmelde und eine Mail absetze kann ich dies ja mit "beliebiger" Absenderadresse tun - ok.

Wie kann ich aber unterbinden, das jemand von extern eine Mail auf diese Art absetzt und eine interne E-Mail Adresse benutzt, z.B. "chef@zum.beispiel.de" und diese an einen existierenden internen Mailaccount, z.B. "mobbed.mitarbeiter@zum.beispiel.de" absetzt! Solche Mails werden ja auch ausgeliefert.

Kann man dem Sendmail das austreiben, oder gibts nen anderen weg?

Danke Euch,

ptsa

Bauchi
15.08.02, 10:48
kleines ratespiel:

rat mal warum es S MTP heisst ... Simple Mail Transfer Protocol ..

vorgesehen ist da eigentlich überhaupt keine überprüfung ...

Du könntest mit smtp auth arbeiten, dann kannste es aber vergessen das du den server im internet betreibst, weil er von exterenen mailserver nix mehr annimmt...

das beispiel was du genannt hast ist ein typisches problem von smtp .. und ganz ehrlich gesagt ist es nicht die aufgabe des mta's die authentizität einer mail zu checken ... das sollte man lieber den 'höheren' schichten überlassen

wenn du nen mailserver laufen lassen willst, der auch mit anderen (internet) spricht und mails tauscht, wirst du wohl in den sauren apfel beissen müssen und den umstand akzeptieren ...

bin ja mal gespannt was für absurde ideen hier noch geposted werden ... aber wenn du einen reibungslosen betrieb willst, dann kannste's vergessen

PTSA
15.08.02, 11:07
danke erstmal für die Info,

der Server muß natürlich von außen erreichbar sein und soll ja auch mails annehmen. Also via Sendmail Konfiguration keine Abhilfe??
ptsa

termito
15.08.02, 11:24
also das dein MTA Mails von aussen (Internet) annimmt ist ja keine Problem, soll ja so sein denk ich.
Um mails nur von authorisierten Usern (mit Passwort) anzunehmen musst du s.o. "SMTP_AUTH" verwenden oder "smtp after pop". Wobei SMTP_AUTH nun die eleganter(neuere) Art ist und mit sendmail kein Problem darstellen dürfte (hatte das damals mit meiner SuSE7.1 und sendmail laufen, heut verwend ich Exim mit SMTP_AUTH).
Aber ich bin mir ziemlich sicher das Sendmail in deiner Version kein OPENRELAY so ohne weiteres ermöglicht. Guck mal in die Datei:
/etc/mail/access, da sollte dann sowas stehn
127 RELAY
192.168 RELAY

Erklärung: Nur IP-nummern die mit 127 und 192.168 anfangen können Mails über Sendmail versenden.

Nun noch zu Sendmail und Sicherheit. Also Sendmail hat schon lange keine Sicherheitslücken mehr gehabt (was früher nicht der Fall war). Und falls doch, werden die bei Sendmail sehr schnell ausgbügelt (ist ja u.a. auch kommerzielles Produkt).
Warum ich von Sendmail abgekommen bin ist die cryptische Konfigurrationsdatei. Du bringst zwar sendmail sehr gut zum laufen, da auch im Netz sehr gut dokumentiert, aber durchsteigen wirst de wahrscheinlich nie so richtig. Wenn dich das alles nicht stört bleib bei sendmail ansonsten würd ich "postfix" mal versuchen, der ist wirklich für normale Dinge einfach zu konfigurieren.

Bauchi
15.08.02, 11:28
absurde idee nr. 1 -> wechsel zu postfix ..
das behebt das problem auch nicht, weil mails für mobbed.mitarbeiter@zum.beispiel.de trotzdem zugestellt werden, egal von welchem sender ...

aber wie gesagt, es kommen sicher noch mehr solche lustige ideen *G*

termito
15.08.02, 11:35
Original geschrieben von Bauchi
absurde idee nr. 1 -> wechsel zu postfix ..
das behebt das problem auch nicht, weil mails für mobbed.mitarbeiter@zum.beispiel.de trotzdem zugestellt werden, egal von welchem sender ...

aber wie gesagt, es kommen sicher noch mehr solche lustige ideen *G*

Da hast du natürlich recht :)
smtp ist halt doch schon fast 30 Jahre alt

PTSA
15.08.02, 13:18
relaying ist hier nicht mein problem.
das ich beliebige externe adressen per SMTP anliefern kann auch nicht, das ist ja nunmal so, aber kann ich nicht "extern" angelieferte Domains der "zum.beispiel.de" domain (intern) kicken? Intern fällt das "fälschen" der Absender ja überhaupt nicht auf (dem Endanwender) da ja auch der Name korrekt angezeigt wird. Ist doch aus sicherheitssicht ungünstig?

Ich bin ratlos...

ptsa

Bauchi
15.08.02, 13:58
das einzige was dir authenzität garantieren kann ist in dem fall eine digitale signatur ... etwa pgp/gpg oder s/mime ...

da wirste aber viel spass haben sowas in der firma voranzutreiben :(

http://www.bsi.de/aufgaben/projekte/sphinx/index.htm ist ein halbwegs gutes argument (wenn man nur bsi sagt haben die meisten schon schiss *G*)

PTSA
15.08.02, 17:00
Hallo nochmal,

ne digitale Signatur wollen die nicht. Aber kann man denn dem MTA das nicht irgenwie "reinkonfigurieren", das er externe Mails mit internem Absender blockt?
Der muß das doch irgendwie mitkriegen, das eine exterrne Mail keine interne Adresse haben kann, oder?

Kann doch nicht sein, das dig. Signatur die einzige Lösung ist?

danke nochmal,
ptsa

Bauchi
16.08.02, 00:05
und wie schickt dein chef dann DIR z.b. ne mail ?!?

PTSA
17.08.02, 15:42
der "chef" schickt über den internen Mailserver, das geht doch auf jeden fall? Das "Problem" (?) betrifft einen Mailgateway Sendmail 8.12.3 der die mail dan an den internen Server weitersendet.

Das Mailgateway müßte irgendwie erkennen das es Mails mit Absender *@zum.beispiel.de nicht nach innen weiterleitet - oder aber der interne MAilserver müßte checken, das er solche Mails von allen internen Rechnern bekommen darf ausser von dem Mailgateway und diese dann nicht ausliefern.

Mir ist klar, das protokollbedingt erstmal alle mails angenommen werden, da ich ja nie weiß, wer mir denn mail schicken will, bis auf diese ausnajhme...


cu

Steve
17.08.02, 17:18
hey Jungs ich habe zwar jetzt keine Ahnung von sendmail, aber in einer der letzen iX stand ein Artikel wie man Spam eindämmt! Also auch sowas unterbindet! der Artikle bezog sich aber nicht auf sendmail sondern auf exim. Mein Scanner ist leider gerade im A****, deshalb kann ich ihnnicht einscannen

@Bauchi
Ich kann mir nicht vorstellen, dass man es nicht abstellen kann, denn sonst gäbe es schon längst ein neues Protokoll und sehr sehr viel mehr Spam!

termito
17.08.02, 22:58
Original geschrieben von Badsteve
der letzen iX stand ein Artikel wie man Spam eindämmt! Also auch sowas

Was ist iX, wenns den Beitrag im Netzt auch gibt poste mal bitte den link