Schlund Mailserver bei interner Nutzung OPEN RELAY???

[jp]

Hossa!

ich habe gerade folgende interessante Entdeckung gemacht:

Code: Select all

neelix:~ # telnet mx00.schlund.de 25
Trying 212.227.126.147...
Connected to mx00.schlund.de.
Escape character is '^]'.
220 kundenserver.de ESMTP Wed, 02 Apr 2003 02:07:04 +0200
ehlo hhh
250-mxng04.kundenserver.de Hello hhh [217.160.140.115]
250-SIZE 20971520
250-PIPELINING
250 HELP
mail from: <>
250 <> is syntactically correct
rcpt to: Julian.Pawlowski@jp-solution.net
250 <Julian.Pawlowski@jp-solution.net> verified
data
354 Enter message, ending with "." on a line by itself
Mails, die ankommen... ;-/
.
250 OK id=190Vn2-0004A4-00
quit
221 mxng04.kundenserver.de closing connection
Connection closed by foreign host.

na sowas! dabei sind die Schlund-Server für meine Domain weder Secondary-MX noch sonst irgendwas. Das Einzige ist, ist habe die Verbindung bei denen netzintern aufgebaut - et voilà, ich kann versenden wie ich lustig bin.

Ist das etwa so von denen gewollt? Von nicht-Schlund Adressen (also von komplett extern) funktioniert das nämlich (zum Glück) nicht...

Habe nirgendwo in den Dokus gelesen, dass man deren Mailserver als Forwarder benutzen dürfte - warum trusten die ihre Kunden intern so derartig? Find ich ja schon schlimm genug, dass das bei uns in der Firma immernoch die Standard-Politik ist *gg*


Gruss

Julian

[dodolin]

Was heisst genau "netzintern"? Hast du einen 1&1 Rootserver oder arbeitest du bei Schlund oder 1&1?

Hast du auch mal versucht, z.B. an Empfänger ausserhalb dieses Netzes zuzustellen (also z.B. GMX, oder sowas)? Wie sieht's da aus?

Ich würde das eventuell einfach mal weiterleiten an <postmaster (at) kundenserver.de> und eventuell auch an <abuse (at) kundenserver.de>. Wenn du Glück hast, bekommst du dann eine Antwort, warum das so ist.

[jp]

Was heisst genau "netzintern"? Hast du einen 1&1 Rootserver oder arbeitest du bei Schlund oder 1&1?

ich habe einen rootserver - so stehts ja auch im Titel dieser Forumseite ;)

Hast du auch mal versucht, z.B. an Empfänger ausserhalb dieses Netzes zuzustellen (also z.B. GMX, oder sowas)? Wie sieht's da aus?

geht genauso - habs auch an meine web.de adresse und gmx geschickt.

Ich würde das eventuell einfach mal weiterleiten an <postmaster (at) kundenserver.de> und eventuell auch an <abuse (at) kundenserver.de>. Wenn du Glück hast, bekommst du dann eine Antwort, warum das so ist.

hab ich doch schon längst ;)


Gruss

Julian

[jp]

hm interessante Antwort:

Hallo Herr Pawlowski,

Ja, das war so beabsichtigt. Die MX-Hosts und die Smart-Relays für interne Netze waren ursprünglich die gleichen Rechner. Eine Mißbrauchsgefahr sehen wir nicht, also hatten wir noch keine Veranlassung die Einstellung zu ändern.


Mit freundlichen Grüßen

xxx


--
xxx mailto:postmaster@schlund.de
1&1 Internet AG http://www.einsundeins.com
Schlund+Partner AG http://www.schlund.de
Fon: +49-721-91374-50 Fax: +49-721-91374-225

*wunder*

Na wenn ich so viele fremde (teilweise - sorry - auch unfähige Möchtegern-) Admins im Netz hätte würde ich denen auf Biegen und Brechen nicht über den Weg trauen... ist doch so alles dahin, was die dort selbst aufgebauten SPAM-Maßnahmen beinhaltet.

Vielleicht dachten die auch, es merkt keiner :lol:

[Edit CaptainCrunch : Ich hab mal den Namen des Sachbearbeiters rauseditiert]

[dodolin]

Na wenn ich so viele fremde (teilweise - sorry - auch unfähige Möchtegern-) Admins im Netz hätte würde ich denen auf Biegen und Brechen nicht über den Weg trauen... ist doch so alles dahin, was die dort selbst aufgebauten SPAM-Maßnahmen beinhaltet.

Nuja, teilweise stimme ich dir zu. Eigentlich ist es nicht nötig und könnte abgeschaltet werden (was aber administrativen Aufwand und damit Kosten verursachen würde). Open Relays im Netz von Schlund wird ja der Port 25 eingehend abgedreht, sodass hier schonmal ein gewisser Schutz besteht. Somit blieben eigentlich nur noch Mails übrig, die direkt auf dem Kundenserver entstehen. Sei es durch einen Spammer (der sicher nicht lange dort seine Server haben wird...) oder durch kaputte CGI-Skripte. Zudem wird ja alles geloggt und kann zurückverfolgt werden. Daher sehe ich die Gefahr auch relativ gering.

Es gibt da IIRC auch noch Unterschiede im Schlund Mailsystem. Alles, was über SMTP AUTH ausgeliefert wird, wird über getrennte Outgoing Hosts versand, im Gegensatz zu Mails, die nicht per AUTH eingeliefert werden. Somit will Schlund erreichen, dass zumindest die Outgoing Hosts von AUTH Mail niemals auf irgendwelchen Blacklisten landen. Und die anderen Outgoing Hosts werden wohl eh nicht als so wichtig erachtet. Deshalb wäre es interessant, herauszufinden, zu welchen Hosts der von dir getestete gehört.

AFAIK waren die "unsicheren" Hosts im 195.* Subnet, die im 212.* waren alle "sicher". Wer's genau wissen will, googelt in danam nach Beiträgen von Anders Henke.

[jp]

Nuja, teilweise stimme ich dir zu. Eigentlich ist es nicht nötig und könnte abgeschaltet werden (was aber administrativen Aufwand und damit Kosten verursachen würde).

Das ist relativ. Achtet man beim Einrichten der Server darauf, ist das ein wirklich unbedeutender Mehraufwand ;)
Nachträglich die Sachen zu ändern halte ich aber auch nicht für sehr aufwendig - lass es auch 20 Mailserver sein. Pro Mailserver ein paar Minuten - da reicht eine Stunde aus. Sicherlich kostet jede Stunde - wenn mans genau nimmt... Ich denke nicht, dass es bei Schlund anders ist als bei uns; wenn man für etwas eine Stunde neben anderen Sachen her benötigt, hat man die auch. Oder man hat einen Fehler in seinem Zeitmanagement ;)

Open Relays im Netz von Schlund wird ja der Port 25 eingehend abgedreht, sodass hier schonmal ein gewisser Schutz besteht. Somit blieben eigentlich nur noch Mails übrig, die direkt auf dem Kundenserver entstehen. Sei es durch einen Spammer (der sicher nicht lange dort seine Server haben wird...) oder durch kaputte CGI-Skripte. Zudem wird ja alles geloggt und kann zurückverfolgt werden. Daher sehe ich die Gefahr auch relativ gering.

naja den Schaden hätte man trotzdem erstmal. Ich halte da die Devise Vorbeugen für besser, als die Nachbereitung/Nachverfolgung...

Es gibt da IIRC auch noch Unterschiede im Schlund Mailsystem. Alles, was über SMTP AUTH ausgeliefert wird, wird über getrennte Outgoing Hosts versand, im Gegensatz zu Mails, die nicht per AUTH eingeliefert werden. Somit will Schlund erreichen, dass zumindest die Outgoing Hosts von AUTH Mail niemals auf irgendwelchen Blacklisten landen. Und die anderen Outgoing Hosts werden wohl eh nicht als so wichtig erachtet.

wie kommst du zu dieser Erkenntnis? AFAIK könnte man solche Analysen über unser Mailsystem in der Firma eigentlich nur mit Insiderwissen bzw. internen Netzplänen machen...

[dodolin]

Nachträglich die Sachen zu ändern halte ich aber auch nicht für sehr aufwendig - lass es auch 20 Mailserver sein. Pro Mailserver ein paar Minuten - da reicht eine Stunde aus.

Mag sein, aber bei Systemen dieser Grössenordnung dürfte "never change a running system" eine umso grössere Bedeutung haben. Schliesslich soll ja auch die Verfügbarkeit nicht gefährdet werden, etc.

Aber ok, ich denke auch, dass sich das machen liesse, wenn man es denn wollte... :)

wie kommst du zu dieser Erkenntnis? AFAIK könnte man solche Analysen über unser Mailsystem in der Firma eigentlich nur mit Insiderwissen bzw. internen Netzplänen machen...

news:de.admin.net-abuse.mail lesen. Google nach dem Namen, den ich genannt hatte, dann dürfte das klar werden...

Ich verrate ja keine Betriebsinterna, sondern gebe nur das wieder, was sowieso schon an anderer Stelle (Newsgruppen) öffentlich wurde.

[jp]

Ich verrate ja keine Betriebsinterna, sondern gebe nur das wieder ...

hab ich dir nicht unterstellen wollen 8)

[dodolin]

hab ich dir nicht unterstellen wollen

So war das auch gar nicht gemeint. :-D
Ich wollte lediglich verdeutlichen, dass es sich da durchaus um "Insiderwissen" handelt, ich selbst aber nix mit 1&1 am Hut habe - ausser, dass ich dort Kunde bin.

[rootmaster]

naja, ganz so harmlos ist das nun auch wieder nicht...

jemand (ein kunde auf einer präsenz) könnte das missbrauchen, um absender zu faken; selbst die schlund-adressen funktionieren ;)

ein vorteil hätten vielleicht nur diejenigen, die mit einem open-relay auf irgendeiner blocklist stehen 8)

"back to the roots"

[lineman]

Ich weiss das ist jetzt unqualifiziert aber muss dennoch sein:

dann schickt doch mal an alle hier aus dem forum 2-3 freimonate mit der rechnungsstellen adresse und fakt die so, dass man´s nicht wirklich sehen kann....

jaja, ich weiss, keine gute idee ;)

[jp]

Ich weiss das ist jetzt unqualifiziert aber muss dennoch sein:

dann schickt doch mal an alle hier aus dem forum 2-3 freimonate mit der rechnungsstellen adresse und fakt die so, dass man´s nicht wirklich sehen kann....

jaja, ich weiss, keine gute idee ;)

auuu auuu..... - no comment -

[sfeni]

Ich habe mal ein Newsletter Skript gebastelt, welches über die Mailserver direkt versendet. Leider habe ich in dieses Newsletter Skript ausversehen eine Endlosschleife eingebaut und es wurden innerhalb weniger Sekunden ca. 10.000 E-Mails versendet. Ein kurze Anruf bei 1und1 hat genügt, wenn man denen die nötigen Infos gibt, sonst wären es noch mehr E-Mails geworden. 8-)

Also diese interne Open-Relay hat auch was für sich. Vor allem für Newsletter Skript, da es die mail() Funktion von PHP z.B. nicht zulässt so viele Empfänger anzugeben.