Proxy zwischen Friewall und Exchange

[Pferd08 10]

Hallo,

 

Wir haben eine Diskusion mit unseren Firewall - Hersteller.

Problem:

Auf der Firewall existiert ein Viren- und SPAMschutz.

Wenn diese Tools aktiviert werden, passieren für uns nicht nachvollziehbare Dinge.

1.) Eine eintreffende Mail mit einem angehängten Virus wird von der Firewall gescannt behandelt und der Empfänger erhält eine Nachricht, das die Mail behandelt wurde.

Dazu erhält der Versender eine Nachricht, das er Viren verschickt (könnte nach meiner Meinung entfallen)

So bis hier ist noch alles OK!!

 

Jetzt kommt das ABER:

Mail mit Virus an eine nicht existierende interne Adresse.

Die Firewall behandelt die Mail und schickt sie an eine existierende interne Adresse, (aber nicht an den für die Firewall zuständigen Administrator).

 

2.) Ähnlicher Fall mit SPAM - Mail

Die Firewall behandelt die SPAM Mail und antwortet dem SPAM Mailer (ist ja auch logisch (dies ist eine zynische Bemerkung von mir)) das er gerade SPAM verschickt.

 

Schalten wir den Virenscanner und SPAM Schutz aus, läuft alles wunderbar.

 

Nachdem unser Firewall - Hersteller immer wieder behauptet, das seine Firewall in Ordnung ist und die Probleme von unseren Exchange 2K Server kommen, will ich den gesamten Mailverkehr protokollieren.

Mich Interessiert nicht der Mailinhalt sondern die kompletten Mailheader.

 

Mein Gedanke: den gesamten Mailverkehr eingehend wie ausgehend über einen Proxyserver zwischen Firewall und Exchangeserver zu leiten und dort zu protokollieren.

Hat schon mal jemand so etwas aufgebaut, egal ob unter Windows oder Linux.

 

Ciao

Fred

[weg5st0 10]

Hi Fred,

 

willkommen an Board....

 

Du könntest das auch ohne Proxy lösen:

http://support.microsoft.com/kb/265139/en-us

 

Da siehst du dann sämtliche SMTP-Kommandos, die von der Firewall weitergegeben werden.

 

Darf man nach dem Produkt fragen?

[Pferd08 10]

Hallo Götz,

 

 

danke für die schnelle Antwort.

 

das kann mir vermutlich weiter helfen.

 

Firerwall Hersteller, werde ich nach der Analyse bekannt geben.

 

Danke und CIAO Fred

[dippas 10]

Hallo Fred,

 

klingt zunächst einmal nicht direkt nach einem technischen Problem, sondern vielmehr nach einem Konfigurationsproblem:

 

1.) Eine eintreffende Mail mit einem angehängten Virus wird von der Firewall gescannt behandelt und der Empfänger erhält eine Nachricht, das die Mail behandelt wurde.

Dazu erhält der Versender eine Nachricht, das er Viren verschickt (könnte nach meiner Meinung entfallen)

 

Meiner Meinung nach SOLLTE (nicht könnte) das entfallen. Weiter unten meine Begründung.

 

Mail mit Virus an eine nicht existierende interne Adresse.

Die Firewall behandelt die Mail und schickt sie an eine existierende interne Adresse, (aber nicht an den für die Firewall zuständigen Administrator).

 

Naja, nichts ungewöhnliches zunächst mal ..

 

2.) Ähnlicher Fall mit SPAM - Mail

Die Firewall behandelt die SPAM Mail und antwortet dem SPAM Mailer (ist ja auch logisch (dies ist eine zynische Bemerkung von mir)) das er gerade SPAM verschickt.

 

Nix gut. Unten mehr.

 

Nachdem unser Firewall - Hersteller immer wieder behauptet, das seine Firewall in Ordnung ist und die Probleme von unseren Exchange 2K Server kommen, will ich den gesamten Mailverkehr protokollieren.

 

Jaein ...

 

OK, hier meine Begründung/Meinung/Vorschlag:

 

1. Eine Virenschutzlösung sollte meiner Meinung nach keine Mails an den Absender mit dem Hinweis "Ihre Mail hatte einen Virus" versenden

2. Eine Spamschutzlösung sollte das auch nicht tun

 

Weil:

zum Großteil werden Viren und Spam von Bot-verseuchten Rechner durch die Welt geschleudert. Die Absender sind eh gefälscht. Eine Rückmeldung an den (gefälschten) "Absender" verursacht mehr Probleme als gewünscht: Mail sind nicht zustellbar, weil es den Absender nicht gibt, Mails rasen durchs INet ohne Ziele, Bounces etc.

 

3. Jede Mail, zu der es keinen gültigen Empfänger in einem Exchange gibt, sollte an ein besonderes Postfach gegeben werden. Das ist aber im virtuellen SMTP-Connector zu konfigurieren. Eigenschaften/Lasche Nachrichten/"Kopie von Unzustellbarkeitsberichten senden an"

 

Allerdings: Die Firewall sollte erst gar keine Mails entgegen nehmen, für die es keinen Empfänger auf dem Exchange gibt. Dazu muss die Firewall aber wissen, wer ein gültiger Empfänger ist und wer nicht -> Konfiguration der FW prüfen. Stichwort: LDAP-connector oder manueller Import von Mailadressen

 

Mail mit Virus an eine nicht existierende interne Adresse.

Die Firewall behandelt die Mail und schickt sie an eine existierende interne Adresse, (aber nicht an den für die Firewall zuständigen Administrator).

 

Na, da wird in der Konfiguration ja wohl die Adresse des Empängers eingepflegt sein!! -> Konfiguration FW. Stichwort: Alarm Actions, Notification

 

Lange Rede, kurzer Unsinn:

 

Wenn die FW samt Virenschutz und Spamschutz von jemanden konfiguriert wurde, der Ahnung hat, dürften die von Dir beschriebenen Fälle gar nicht auftreten. Gleiches gilt für den Exchange.

 

Also prüfe mal die jeweiligen Konfigurationen. Die Aussage, es liegt ausschließlich am Exchange, schließe ich nach bisherigem Informationsstand kategorisch aus.

 

Den Mailverkehr mitzuschneiden halte ich momentan für übertrieben, weil sowohl FW als auch Exchange nur das machen, was man reinkonfiguriert hat.

 

grüße

 

dippas

[Pferd08 10]

Hallo dippas,

 

die ganze Angelegenheit werde ich mir in der nächsten Woche in Ruhe ansehen.

 

Irgendwie muss ich einen definierten Zustand herstellen, aus diesem Grund will ich auch erst einmal sehen, welches von beiden Systemen am meisten Spinnt.

 

Das Ergebnis werde ich hier mitteilen.

 

Parallel dazu erwarte ich vom Firewallhersteller, das er diese Antworterei auf Viren und SPAM abschaltet.

 

Guten Rutsch und CIAO Fred