Mail:Sicherheit
Aus KissDoc
Inhaltsverzeichnis |
SMTP Befehle
Der SMTP Befehl VRFY wird genutzt um festzustellen,
ob ein Benutzer exisistiert oder berechtigt ist, den SMTP Server zu nutzen. Dieser Befehl sollte
aus Sicherheitsgründen deaktiviert werden. Ein einfaches vrfy username gibt an,
ob der User existiert. Wenn ja, kommt gleich noch sein kompletter Name und die Mailadresse.
Das ist nicht gut ;). Im Domino lassen sich die zu verwendenden SMTP Befehle für
In- und
Out-Verbindungen konfigurieren.
Offener Relay
Am wichtigsten ist wohl aber erst einmal, das der SMTP Server nicht gleich als offener Relay in jeder Blacklist (z.Bsp. DSBL) dieser Welt steht. Dieses Thema ist ein Dauerbrenner in den Foren und nix für Hobbydaministratoren:
- SMTP Relay nur für Authentifizierte Benutzer zulassen
- Unser Domino wird als Relay benutzt
- Notes spam mail filtering
Die Relay-Einstellungen im Domino sind unter der SMTP - Eingangssteuerung zu finden. Am wichtigsten sind dabei die beiden * in den Feldern Mail ablehnen, die an folgende externe Internet-Domänen gesendet wird und Mail ablehnen, die von diesen Internet-Hosts an externe Internet-Domänen gesendet wird
(Relais-Steuerung Eingang). Nun ist es nun aber mal so, dass externe POP Nutzer Mails ins Inet versenden wollen. Dafür müssen die
Anti-Relais-Maßnahmen (Eingang) eingestellt werden. Auch ist es hiermit möglich, einzelne Hosts das Senden zu erlauben
(dem SMTP Client localhost z. Bsp.). Ob der Rechner ein offener Relay ist, sollte aber
mit Hilfe der SpamHelp.org getestet werden. Weitere Infos sind bei der Open Relay Database zu finden.
Eingangsprüfungen
Dieses Dokument ist unfertig.
Ich schalte mal zur Prüfung der SMTP Absender-Domain die IP Prüfung mit ein. Ist aber vermutlich etwas gewagt. Die User sollten mal beobachten, ob sie weiterhin alle Mails erhalten, welche sie auch erhalten wollen und ob die Spams weniger werden.
Die Logeinträge sehen dabei wie folgt aus:
10.03.2005 10:21:10 SMTP Server [01187:00011-131081] \ Connection from [222.101.79.125] rejected for policy reasons. \ IP address of connecting host not found in reverse DNS lookup.
Userkonten
Auch ist es sehr hilfreich, wenn der SMTP Server Mails mit 550 ableht, sobald ein lokaler User nicht existiert.
In der Standardeinstellung nimmt er Mails für die komplette lokale Domäne an und versucht eine Fehlermessage zurückzusenden,
wenn der Router die Mail lokal nicht zustellen konnte.
Einige dieser "Antwort"-Mails werden dann zu Dead Messages und stehen im Server (mail.box).
Einige andere werden beantwortet. Alles SpamMails! Was ist mit denen, die er nicht beantworten kann?
Das sind scheinbar Server, welche keinen gültigen MX record besitzen.
Regeln
Mailregeln oder so genannte Policies bieten eine weitere Möglichkeit, Nachrichtenübermittlungen zu steuern.
Spam
Spam ist eine aufreibende Sache. wichtig hierbei ist, dass auch ein Admin-C einer Domain für Spam's verantwortlich ist, nicht nur ein Provider (der sowieso ;))!
