Exchange: SMTP Authentifizierung

[netsniffer 10]

Schönen guten Abend,

 

hab heute was fürchterliches in nem Netzwerk gesehen, das unbedingt so schnell wie möglich beseitigt werden soll. Situation:

 

Mittleres LAN, 3 Exchange-Server, alle PCs an Exchange angebunden.

Daneben gibt es noch weitere Systeme wie z.B. ein Lotus Notes, die das SMTP vom Exchange nutzen um Mails zu verschicken, bei denen die Absenderadresse frei wählbar ist (z.B. Dokument wird im Notes vom Benutzer xy erstellt, yz wird benachrichtigt mit einer Mail "Neues Dokument" von Absender xy@firma.de).

 

Problem: Im Moment sind die Exchange-Server komplett offen, d.h. man kann ohne Benutzerauthentifizierung von beliebigen PCs aus Mails über den Server verschicken (nach intern und extern) und kann dabei auch selbst als Absenderadresse die Mailadresse anderer Mitarbeiter angeben!

Von außen is der Server zum Glück komplett zu....

 

Erste Frage: Auf einer Skala von (nicht schlimm)1-10(extrem), wie schlimm schätzt ihr diese Lücke ein?

 

Eins is klar, der Server muss gesichert werden! Wäre gar nicht so tragisch, wenn da nicht die o.g. Systeme wären, die Mails unter beliebigen Absenderadressen verschicken können sollen und dürfen!

 

Wie stelle ich das am besten an? Habe 2 Ideen, kenn mich mit Exchange leider nicht so aus und wüßte gerne obs die Möglichkeiten gibt:

 

1. Mailversand über SMTP komplett mit Benutzername+PW sichern. Dann müsste es allerdings die Möglichkeit geben, dass sich ein Fremdsystem(hier:Notes) mit immer dem gleichen Benutzernamen und PW anmeldet und trotzdem Mails von beliebigen Adressen versenden kann.

 

2. Mailversand über SMTP auf die erlaubten Systeme einschränken (über IP Adresse), d.h. wenn eine Mail von z.B. dem Notes-Server mit der IP 10.10.10.52 kommt kann diese ohne Autentifizierung mit bel. Absender verschickt werden, eine Mail von 10.10.10.53 (Arbeitsplatz PC) kann entweder gar nicht übers SMTP odernur nach Anmeldung geschickt werden.

 

Ich wäre euch zutiefst dankbar, wenn mit jemand von euch sagen könnte, welche der beiden Möglichkeiten erstmal geht und dann auch noch besser wäre und warum.

 

So, viel Text, aber ich hoffe mein Problem is klar geworden.

 

Danke schon mal für eure Antworten!

[GuentherH 61]

Hi.

 

wenn eine Mail von z.B. dem Notes-Server mit der IP 10.10.10.52 kommt kann diese ohne Autentifizierung mit bel. Absender verschickt werden

 

Genauso würde ich es machen.

Ein Client (Arbeitsplatz) hat eigentlich überhaupt nichts per SMTP zu versenden.

 

Ich sperre aus Sicherheitsgründen prinzipiell Port 25 (LAN -> WAN). Der einzige Server, der Mails versenden darf ist der Exchange.

 

LG Günther

[netsniffer 10]

Port 25 ist von intern nach extern gesperrt, das schlimme ist ja, dass von intern mails über den Exchange nach aussen über SMTP geschickt werden können.

 

Beispiel: Ich bin Hans Maier und der Chef der Firma Markus Huber.

Jetzt kann ich hergehen, in meinem Outlook (Express) einfach als Absender "Markus Huber", als Absenderadresse "markus.huber@firma.de" und als Adresse für den SMTP den firmeneigenen SMTP angeben.

 

Wenn ich dann eine Mail über das Konto nach aussen schicke sieht der Empfänger eine Mail von Markus Huber mit seiner richtigen Adresse und wenn er nachprüft, von welcher IP-Adresse die Mail kam ist auch unser Server drin, d.h. für ihn is die Mail zu 100% echt, mein Chef weis nix davon!

 

Glaub jetzt is klarer wo das Hauptproblem besteht. Ich sag mal es is sicher nicht lustig wenn einer aus der Firma mit der Adresse vom Chef vielleicht gefakte Bilanzen oder Firmengeheimnisse verschickt !!!!

[netsniffer 10]

Was vergessen:

 

Also nochmal:

 

Ich kann also am Exchange auf ner Art Filterliste einstellen, wer (welche IP) Mails über SMTP verschicken darf? Oder muss ich da extra ne Firewall davor schalten?

[GuentherH 61]

Hi.

 

Ja ist mir alles klar, deshalb auch der Rat nur bestimmten Rechnern das Relaying zu erlauben.

 

Virtueller SMPT Server -> Zugriff -> Relay (z.B. f. Exchange 2002/2003)

 

LG Günther