E-Mail-Server in Gefahr (?)

Rund um die Sicherheit des Systems und die Applikationen
ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

E-Mail-Server in Gefahr (?)

Post by ffl » 2004-04-10 09:33

Hi, lest den mal:

http://www.netzeitung.de/internet/281321.html

Jetzt die Frage: wie krieg ich raus ob das bei mir der Fall ist und was kann man dagegen tun?


Gruß
ff

cybermage
Posts: 158
Joined: 2002-12-10 22:10
Location: Ausgburg (Germany)

Re: E-Mail-Server in Gefahr (?)

Post by cybermage » 2004-04-10 10:39

die sprechen immer von "ungesicherten mailservern" mit denen man die anonym tun könne ... meinen die open relay mailserver?

evoluzzer
Posts: 90
Joined: 2002-09-08 19:33
Location: www.internetists.de/index.php?s=14

Re: E-Mail-Server in Gefahr (?)

Post by evoluzzer » 2004-04-10 10:48

hört sich eher nach einer Dos-Attacke an.....

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: E-Mail-Server in Gefahr (?)

Post by dodolin » 2004-04-10 23:06

Also warum die das gerade _jetzt_ schreiben, weiß ich auch nicht, das Problem ist schon so alt, wie SMTP selbst und wurde schon hinreichend diskutiert.

Gegen eine solche DoS Attacke kann man sich nur sehr begrenzt schützen, aber man kann sehr wohl verhindern, dass der eigene Server dazu benutzt wird, eine solche Attacke gegen Dritte Server zu fahren. Und zwar ganz einfach dadurch, dass man schon während des SMTP-Dialogs den Empfänger (RCPT TO) prüft und nur solche Empfänger annimmt, die zu lokalen Domains gehören und auch existieren.

Leider tut das z.B. QMail per Default nicht und lässt sich nur mittels Patch zu einem "sicheren" Verhalten überreden.

arnee
Posts: 54
Joined: 2003-09-30 21:32

Re: E-Mail-Server in Gefahr (?)

Post by arnee » 2004-04-12 11:57

Ich habe das ganze eben noch mal mit einem Postfix-System getestet. Sobald das RCPT TO:<foo@bar.tld> eingegeben wird und bar.tld keine dem Mailserver bekannte Domain ist, wird der Versuch entsprechend mit Relay Access Denied verwehrt.
Damit ist Postfix dafür nicht anfällig?

rouven
Posts: 58
Joined: 2002-10-10 15:27

Re: E-Mail-Server in Gefahr (?)

Post by rouven » 2004-04-12 11:57

Leider tut das z.B. QMail per Default nicht und lässt sich nur mittels Patch zu einem "sicheren" Verhalten überreden.
welchen patch meinst du

lim_dul
Posts: 10
Joined: 2002-11-23 02:10

Re: E-Mail-Server in Gefahr (?)

Post by lim_dul » 2004-04-12 14:08

dodolin wrote:Also warum die das gerade _jetzt_ schreiben, weiß ich auch nicht, das Problem ist schon so alt, wie SMTP selbst und wurde schon hinreichend diskutiert.

Gegen eine solche DoS Attacke kann man sich nur sehr begrenzt schützen, aber man kann sehr wohl verhindern, dass der eigene Server dazu benutzt wird, eine solche Attacke gegen Dritte Server zu fahren. Und zwar ganz einfach dadurch, dass man schon während des SMTP-Dialogs den Empfänger (RCPT TO) prüft und nur solche Empfänger annimmt, die zu lokalen Domains gehören und auch existieren.
Wobei das natürlich den Nachteil hat, dass man so mittels eines scripts überprüfen kann welche E-Mail Adressen existieren. Ideal für Spammer um Adressen zu verifizieren.

Wäre es nicht auch sinnvoll, anstelle der Mail Delivery failed die komplette orginal Nachricht dranzuhängen nur sagen wir maximal 1 kb der orginalen Nachricht dranzuhängen?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: E-Mail-Server in Gefahr (?)

Post by dodolin » 2004-04-12 18:45

welchen patch meinst du
k.a., wie der heißt, bin kein QMail Experte.
Halt einer, der macht, dass QMail nicht lokale oder nicht existierende RCPT TO gleich abweist, anstatt alles ungeprüft anzunehmen und dann Bounces zu verschicken.
Wobei das natürlich den Nachteil hat, dass man so mittels eines scripts überprüfen kann welche E-Mail Adressen existieren. Ideal für Spammer um Adressen zu verifizieren.
Dieses Thema wurde schon öfter hier diskutiert. Siehe z.B. hier:
http://www.rootforum.org/forum/viewtopic.php?t=23527 die letzten paar Beiträge.
Wäre es nicht auch sinnvoll, anstelle der Mail Delivery failed die komplette orginal Nachricht dranzuhängen nur sagen wir maximal 1 kb der orginalen Nachricht dranzuhängen?
Nein, denn damit trägst du nicht zur Lösung des Problems "Spam" bei, sondern bist selbst Teil des Problems. Siehe hierzu auch:
http://www.f-prot.com/news/gen_news/ope ... t2003.html
http://www.f-prot.com/news/gen_news/ope ... n2004.html

Obs da jetzt um Antivirus geht oder nicht, ist egal. Das Thema ist das selbe: Man sollte (unnötige) Bounces auf ein _Minimum_ reduzieren.

lim_dul
Posts: 10
Joined: 2002-11-23 02:10

Re: E-Mail-Server in Gefahr (?)

Post by lim_dul » 2004-04-12 23:01

Gut, jetzt sehe ich was klarer :)

Mit dem Mail Delivery Failed bin ich aber noch nicht ganz zufrieden mit der Antwort :P

Ich wäre dennoch dafür, nicht die komplette Mail bei einem Mail Delivery failed zu verschicken.
Gibt ja auch noch andere Gründe, warum eine Mail nicht zugestellt werden kann. (Postfach voll etc.) ;)

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: E-Mail-Server in Gefahr (?)

Post by dodolin » 2004-04-13 01:49

Ich wäre dennoch dafür, nicht die komplette Mail bei einem Mail Delivery failed zu verschicken.
Du magst dich vielleicht jetzt wundern, aber "anständige" MTAs tun das bereits heute. Zumindest Exim tut das bzw. kann so eingestellt werden. Ich weiß jetzt nicht, wie der Default hier aussieht...

Was aber bei einem Bounce _nie_ (!) fehlen sollte, ist der komplette Header der Originalmail (um das zurückverfolgen zu können). Leider fehlt der meisten kaputten AV-Software sogar schon das!

lim_dul
Posts: 10
Joined: 2002-11-23 02:10

Re: E-Mail-Server in Gefahr (?)

Post by lim_dul » 2004-04-13 01:54

Wundern ist relativ, das das manche machen bereits machen ist mir bewusst ;)
Ich war einmal schon ganz froh, dass sie das machen, da ich sonst eine endlos Mailschleife produziert hätte. :D (Weiterleitungen und Bodychecks können manchmal böse sein)

flotte
Posts: 93
Joined: 2002-09-13 23:27

Re: E-Mail-Server in Gefahr (?)

Post by flotte » 2004-04-18 22:26