Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Schutz des Exchange Servers

Mitglied: Vancouverona

Vancouverona (Level 1) - Jetzt verbinden

27.08.2018 um 12:22 Uhr, 781 Aufrufe, 13 Kommentare

Hi,

kurze Frage in die Runde:

Was macht ihr eigentlich, wenn ihr die SMTP Receive Logs des Exchange Servers durchschaut und feststellt, dass da andere Server

  1. Relaying versuchen (550 5.7.1 Unable to relay) oder
  2. dutzendfach beim Authentifizieren (504 5.7.4 Unrecognized authentication type) scheitern?

Ignoriert ihr das? Habt ihr eine Schwelle, ab der ihr die IP in Exchange oder der Firewall blockt?
Wäre nett, wenn ihr auch eine kurze Begründung schreiben würdet.

Und damit es einen Anfang gibt:
  1. Ich sperre die Adressen mit Relay-Versuchen in der Firewall, wenn es mehr als 20 Versuche gab, alle anderen werden als IPBlocklistEntry in Exchange gesperrt.
  2. Wer mehr als 20 mal mit der Authentifizierung gescheitert ist, wird für vier Wochen als IPBlocklistEntry in Exchange gesperrt. Wer mehr als 100mal scheitert, dem unterstelle ich Absicht und blocke ihn in der Firewall.
  3. Die Listen werden regelmäßig darauf hin überprüft, ob es notwendig ist, ganze Netz-Segmente zu sperren (Exchange 2010 kann maximal 800 IP-Adressen als IPBlocklistEntry verwalten).

Sammelt jemand solche Adressen?

Danke.
Jörg
Mitglied: nepixl
27.08.2018 um 12:50 Uhr
Hi,

halte das ähnlich wie Du, nur dass ich vor dem Exchange noch einen Antispam Server sitzen habe mit integrierter Firewall.
Habe ich hier zu häufige Auth's oder Relayanfragen, wird die IP nach Beobachtung erstmal an der Antispam FW geblockt und wenn der/die/das Bot(netz) nach wie vor nicht aufgeben, nehme ich die Last vom Server und blocke es noch vorm Router .
Momentan geht's meiner Meinung ziemlich heftig ab. Hatte letzte Woche deutlich mehr Anfragen dieser Art!

Sammelt jemand solche Adressen?
Ja - alle durchweg dokumentiert für spätere Neueinrichtung bzw. Freigabe falls ein falsepositive gemeldet wurde (bzw. ich geblockt hatte).

Bin sehr gespannt wie es die Kollegen hier halten.

Gruß
Bitte warten ..
Mitglied: Vancouverona
27.08.2018 um 13:31 Uhr
Hi,

danke für die Antwort.
Bezüglich ANTI-SPAM vertraue ich auf DNS Blocklists, z.B. Spamcop, Spamhaus, Sorbs, etc. Und falls mal ein Kunde oder Lieferant dort zufällig gelandet ist, bekommt er in der Abweisungsnachricht direkt mitgeteilt, auf welcher Liste er gelandet ist.
Dann kann er seinem Admin erzählen, was zu tun ist.

Gruß
Jörg
Bitte warten ..
Mitglied: sleaper
27.08.2018 um 18:40 Uhr
Hi Jörg,

Solche Anfragen kommen normalerweise gar nicht zum Mailserver durch. Dafür sorgt die davor geschaltete „Malware Appliance“....

Die loggt alles mit und gibt „saubere“ Mails an den Mailserver weiter...

Wir nutzen dafür Microfocus Secure Gateway (ehemals GWAVA).

Viele Gruesse,

Sascha
Bitte warten ..
Mitglied: Dani
27.08.2018 um 19:02 Uhr
Guten Abend Jörg,
Ignoriert ihr das?
Ja.

Habt ihr eine Schwelle, ab der ihr die IP in Exchange oder der Firewall blockt?
Ja. Liefert ein Mailserver Spam bei uns ab, wird er das erste Mal xx Minuten blockiert. Wenn er es wieder macht, erhöht sich die Zeit in definierten Abständen. Im Worst Case 1 Monat. Jedes Mal wird der Eintrag nach Ablauf automatisch gelöscht.

Ich sperre die Adressen mit Relay-Versuchen in der Firewall, wenn es mehr als 20 Versuche gab, alle anderen werden als IPBlocklistEntry in Exchange gesperrt.
Ist euch langweilig? Dafür wäre mir die knappe Zeit zu schade. Nicht um sonst gibt es Malware Protection Suites, die so etwas automatisch tun.

Die Listen werden regelmäßig darauf hin überprüft, ob es notwendig ist, ganze Netz-Segmente zu sperren (Exchange 2010 kann maximal 800 IP-Adressen als IPBlocklistEntry verwalten).
Du solltest solche Dinge von einem Exchange-Server fernhalten. Dafür gibt es die unzähligen Malware Protection Systeme. Somit kann der Exchange Server sich auf das Verwalten, empfangen und versenden von E-Mails konzentrieren.

Sammelt jemand solche Adressen?
Nein.


Gruß,
Dani
Bitte warten ..
Mitglied: FA-jka
27.08.2018 um 19:39 Uhr
Hallo,

ich würde ehrlich gesagt nie auf die Idee kommen, Port 25 direkt aufzuschalten.

Ich hänge einen Linux-Host mit fetchmail davor und richte beim ISP Postfächer ein.

Gruß,
Jörg
Bitte warten ..
Mitglied: Dani
27.08.2018 um 20:10 Uhr
Moin Jörg,
Ich hänge einen Linux-Host mit fetchmail davor und richte beim ISP Postfächer ein.
durch den Linux-Host gewinnst du doch nichts, oder?


Gruß,
Dani
Bitte warten ..
Mitglied: FA-jka
27.08.2018 um 21:10 Uhr
Hallo,

doch - ich baue die Verbindung ja von innen herauf aus.

Der Linux-Host holt die E-Mails aus POP3-Postfächern beim Internetanbieter.

Gruß,
Jörg
Bitte warten ..
Mitglied: Vancouverona
28.08.2018 um 10:19 Uhr
Hi,

wie viele Postfächer hast Du da beim ISP? Wie werden die gesichert? Wieviele User versorgst Du mit Mail?

Gruß
Jörg
Bitte warten ..
Mitglied: FA-jka
28.08.2018 um 11:54 Uhr
Hallo,

Zitat von Vancouverona:

wie viele Postfächer hast Du da beim ISP?

Pro User "eins". Den Aufwand für die Pflege habe ich mit ca. 5 Minuten pro Benutzerveränderung kalkuliert. Mit anderen Worten: Er ist so gering, dass man ihn kaum wahrnimmt.

Wie werden die gesichert?

Warum sollte ich leere Postfächer sichern? Der fetchmail löscht die E-Mails nach dem Abruf, das Backup wäre somit 0 Byte groß

Die eigentliche Sicherung der Inhalte läuft dann lokal über den Exchanger.

Wieviele User versorgst Du mit Mail?

Alle(?). Die Beschränkung ergibt sich in erster Linie durch die Internetbandbreite und wäre somit auch vorhanden, wenn ich auf Port 25 höre.

Ein Nachteil ist, dass es natürlich eine gewisse Verzögerung gibt. Aus meiner Sicht überwiegen jedoch die Vorteile. Wenn Du in Bezug auf Sicherheit, Datensicherheit, Redundanz, Ausfallsicherheit usw. die gleiche Qualität wie dein ISP erreichen möchtest, ruderst Du auf einem Teich, der für die meisten Mittelständler deutlich zu tief ist.

Gruß,
Jörg
Bitte warten ..
Mitglied: Dani
28.08.2018 um 20:33 Uhr
Guten Abend Jörg,
doch - ich baue die Verbindung ja von innen herauf aus.
genauso könnte der Exchange mit einem kl. Zusatztool die E-Mails beim ISP abrufen. Ist aus Sicht der Sicherheit kein Unterschied.


Gruß,
Dani
Bitte warten ..
Mitglied: FA-jka
28.08.2018 um 22:19 Uhr
Hallo,

der fetchmail hat nämlich eine Tracepolls-Option, mit der er Dir das Postfach in die Headerdaten schreibt, aus dem er gepullt hat.

D.h., Du kannst 10 POP3-Postfächer in ein Exchange-Postfach schieben und den Krempel dort mit serverseitigen Filterregeln in Unterordner schieben.

Das kann keines der mir bekannten Zusatztools.

Zumal man den Linux-Host ja meistens eh schon hat, da man ihn als reversen Proxy vor das OWA hängt.

Nicht?

Gruß,
Jörg
Bitte warten ..
Mitglied: Vancouverona
29.08.2018 um 15:07 Uhr
Und wenn ich 400 Benutzerpostfächer mit insgesamt ca. 1.000 unterschiedlichen Maildressen habe?
Bitte warten ..
Mitglied: FA-jka
29.08.2018 um 21:01 Uhr
Hallo,

dann gehörst Du zu den 5%

Gruß,
Jörg
Bitte warten ..
Ähnliche Inhalte
Sicherheits-Tools
Ransomware Schutz
gelöst Frage von M.MarzSicherheits-Tools6 Kommentare

Hallo zusammen, immer häufiger liest man über Vorfälle über verschlüsselte Festplatten in Betrieben. Normaler weise hat ja jeder große ...

HTML
Intranet Schutz
gelöst Frage von finnhannemannHTML8 Kommentare

Hallo liebe Community, ich habe für mein Unternehmen ein Passwort System installiert. Es läuft auf einem Webserver und ist ...

Windows 7
Schutz vor Ramsoftware
gelöst Frage von stefan00166Windows 79 Kommentare

Liebe User, Ich habe bei mir daheim einen Windows 7 Pc der alt Netzwerkserver missbraucht wird. Darauf sind 2 ...

Exchange Server
Exchange SPAM-Schutz
Frage von padimonuExchange Server11 Kommentare

Hallo Zusammen, wir sind auf der Suche nach einem neuen SPAM Schutz für den MS Exchange. Hier die Eckdaten: ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 2 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 2 TagenExchange Server3 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 2 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

LAN, WAN, Wireless
Gebäude mit LWL-Anschlüssen ausstatten - VorNachteile?
Frage von staybbLAN, WAN, Wireless17 Kommentare

Hallo zusammen, es gibt ja mittlerweile viele Firmen die nicht nur ihre Backbones mit FibreChannel anbinden sondern auch direkt ...