MSXFAQ Newsletter 30. Nov 2003

Inhaltsverzeichnis

Ist Ihr Exchange System „Relay-Sicher“?
Wie können Sie sich schützen?

+++++++++++++ Eilmeldung +++++++++++++

Folgende Information ist für unternehmen interessant, deren Exchange Server direkt aus dem Internet per SMTP erreichbar ist.

Ist Ihr Exchange System „Relay-Sicher“?

Spammer sind Personen, die Werbenachrichten tausendfach versenden. Um Kosten zu sparen und weder erkannt, noch blockiert zu werden, benutzen Spammer vielfach "offene Relays". Dies sind Mailserver, die Nachrichten weiterleiten, die nicht vom eigenen System kommen. Also von nicht autorisierten Absendern oder von nicht vertrauenswürdigen Netzbereichen über Ihren Server gesendet werden.

Exchange 2000 ist in der Standardkonfiguration KEIN offenes Relay. Allerdings kann jeder Benutzer einen Exchange Server als Relay benutzen, nachdem er sich autorisiert hat. Eine entsprechende Funktion ist im SMTP mit dem Befehl "AUTH" möglich.

Die Funktion ist sinnvoll für Mitarbeiter und Kunden, die von unterwegs per POP3 arbeiten und ihre Nachrichten per SMTP über den Server versenden können. Eine große Schwäche des Ansatzes ist jedoch, dass Jeder, der einen Benutzernamen und ein Kennwort herausfindet, ebenfalls ihren Exchange Server als Relay verwenden kann.

Es scheint nun so zu sein, dass Spammer verstärkt systematisch über einen Portscan nach Exchange Servern suchen, um dann über "brute force Attacken" das Kennwort eines Anwenders aufzuschlüsseln. Ein Nachweis dieser Vorgehensweise ist fast aussichtslos. Gefährdet sind unternehmen, deren Anwender sehr triviale Kennworte verwenden.

Wie können Sie sich schützen?

Damit Sie selbst bzw. Ihr Server, weder Werbenachrichten versenden oder auf "Relay BlockList"-Servern als vermeintlich offenes Relay gelistet werden, sollten Sie über Kennwortrichtlinien eine Mindestlänge und die Komplexität sicherstellen. Zudem sollten Konten nach mehreren Fehlversuchen einige Zeit gesperrt werden. Weiterhin sollten Sie das Sicherheits-Eventlog auf solche Fehlversuche und die Performancecounter kontrollieren, um solche Angriffen erkennen und eventuell reagieren zu können. Solange die SMTP-AUTH Funktion nicht benötigt wird, weil z.B. keine Anwender extern per POP3/SMTP arbeiten, sollten Sie die Funktion deaktivieren. Alternativ können Sie die Einwahl über VPN anbieten.

Besonders kritisch ist die Kennwort-Policy, wenn die Anwender für die SMTP-Anmeldung das gleiche Kennwort nutzen, wie für den Zugriff per VPN, Terminaldienste, RAS und Outlook Webaccess. Dann kann ein Spammer bei erfolgreicher Kennwortermittlung auch andere Dienste nutzen.

Wenn Sie unsicher sind, ob dieser Sachverhalt auf Sie zutrifft, dann sollten Sie externe Hilfe zu Rate ziehen.

Frank Carius