13
Schutz des Exchange Servers
Hi,
kurze Frage in die Runde:
Was macht ihr eigentlich, wenn ihr die SMTP Receive Logs des Exchange Servers durchschaut und feststellt, dass da andere Server
Ignoriert ihr das? Habt ihr eine Schwelle, ab der ihr die IP in Exchange oder der Firewall blockt?
Wäre nett, wenn ihr auch eine kurze Begründung schreiben würdet.
Und damit es einen Anfang gibt:
Sammelt jemand solche Adressen?
Danke.
Jörg
kurze Frage in die Runde:
Was macht ihr eigentlich, wenn ihr die SMTP Receive Logs des Exchange Servers durchschaut und feststellt, dass da andere Server
- Relaying versuchen (550 5.7.1 Unable to relay) oder
- dutzendfach beim Authentifizieren (504 5.7.4 Unrecognized authentication type) scheitern?
Ignoriert ihr das? Habt ihr eine Schwelle, ab der ihr die IP in Exchange oder der Firewall blockt?
Wäre nett, wenn ihr auch eine kurze Begründung schreiben würdet.
Und damit es einen Anfang gibt:
- Ich sperre die Adressen mit Relay-Versuchen in der Firewall, wenn es mehr als 20 Versuche gab, alle anderen werden als IPBlocklistEntry in Exchange gesperrt.
- Wer mehr als 20 mal mit der Authentifizierung gescheitert ist, wird für vier Wochen als IPBlocklistEntry in Exchange gesperrt. Wer mehr als 100mal scheitert, dem unterstelle ich Absicht und blocke ihn in der Firewall.
- Die Listen werden regelmäßig darauf hin überprüft, ob es notwendig ist, ganze Netz-Segmente zu sperren (Exchange 2010 kann maximal 800 IP-Adressen als IPBlocklistEntry verwalten).
Sammelt jemand solche Adressen?
Danke.
Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 384593
Url: https://administrator.de/contentid/384593
Printed on: April 18, 2024 at 06:04 o'clock
13 Comments
Latest comment
Hi,
halte das ähnlich wie Du, nur dass ich vor dem Exchange noch einen Antispam Server sitzen habe mit integrierter Firewall.
Habe ich hier zu häufige Auth's oder Relayanfragen, wird die IP nach Beobachtung erstmal an der Antispam FW geblockt und wenn der/die/das Bot(netz) nach wie vor nicht aufgeben, nehme ich die Last vom Server und blocke es noch vorm Router .
Momentan geht's meiner Meinung ziemlich heftig ab. Hatte letzte Woche deutlich mehr Anfragen dieser Art!
Bin sehr gespannt wie es die Kollegen hier halten.
Gruß
halte das ähnlich wie Du, nur dass ich vor dem Exchange noch einen Antispam Server sitzen habe mit integrierter Firewall.
Habe ich hier zu häufige Auth's oder Relayanfragen, wird die IP nach Beobachtung erstmal an der Antispam FW geblockt und wenn der/die/das Bot(netz) nach wie vor nicht aufgeben, nehme ich die Last vom Server und blocke es noch vorm Router .
Momentan geht's meiner Meinung ziemlich heftig ab. Hatte letzte Woche deutlich mehr Anfragen dieser Art!
Sammelt jemand solche Adressen?
Ja - alle durchweg dokumentiert für spätere Neueinrichtung bzw. Freigabe falls ein falsepositive gemeldet wurde (bzw. ich geblockt hatte).Bin sehr gespannt wie es die Kollegen hier halten.
Gruß
Hi,
danke für die Antwort.
Bezüglich ANTI-SPAM vertraue ich auf DNS Blocklists, z.B. Spamcop, Spamhaus, Sorbs, etc. Und falls mal ein Kunde oder Lieferant dort zufällig gelandet ist, bekommt er in der Abweisungsnachricht direkt mitgeteilt, auf welcher Liste er gelandet ist.
Dann kann er seinem Admin erzählen, was zu tun ist.
Gruß
Jörg
danke für die Antwort.
Bezüglich ANTI-SPAM vertraue ich auf DNS Blocklists, z.B. Spamcop, Spamhaus, Sorbs, etc. Und falls mal ein Kunde oder Lieferant dort zufällig gelandet ist, bekommt er in der Abweisungsnachricht direkt mitgeteilt, auf welcher Liste er gelandet ist.
Dann kann er seinem Admin erzählen, was zu tun ist.
Gruß
Jörg
Hi Jörg,
Solche Anfragen kommen normalerweise gar nicht zum Mailserver durch. Dafür sorgt die davor geschaltete „Malware Appliance“....
Die loggt alles mit und gibt „saubere“ Mails an den Mailserver weiter...
Wir nutzen dafür Microfocus Secure Gateway (ehemals GWAVA).
Viele Gruesse,
Sascha
Solche Anfragen kommen normalerweise gar nicht zum Mailserver durch. Dafür sorgt die davor geschaltete „Malware Appliance“....
Die loggt alles mit und gibt „saubere“ Mails an den Mailserver weiter...
Wir nutzen dafür Microfocus Secure Gateway (ehemals GWAVA).
Viele Gruesse,
Sascha
Guten Abend Jörg,
Habt ihr eine Schwelle, ab der ihr die IP in Exchange oder der Firewall blockt?
Ja. Liefert ein Mailserver Spam bei uns ab, wird er das erste Mal xx Minuten blockiert. Wenn er es wieder macht, erhöht sich die Zeit in definierten Abständen. Im Worst Case 1 Monat. Jedes Mal wird der Eintrag nach Ablauf automatisch gelöscht.
Gruß,
Dani
Ignoriert ihr das?
Ja.Habt ihr eine Schwelle, ab der ihr die IP in Exchange oder der Firewall blockt?
Ja. Liefert ein Mailserver Spam bei uns ab, wird er das erste Mal xx Minuten blockiert. Wenn er es wieder macht, erhöht sich die Zeit in definierten Abständen. Im Worst Case 1 Monat. Jedes Mal wird der Eintrag nach Ablauf automatisch gelöscht.
Ich sperre die Adressen mit Relay-Versuchen in der Firewall, wenn es mehr als 20 Versuche gab, alle anderen werden als IPBlocklistEntry in Exchange gesperrt.
Ist euch langweilig? Dafür wäre mir die knappe Zeit zu schade. Nicht um sonst gibt es Malware Protection Suites, die so etwas automatisch tun.Die Listen werden regelmäßig darauf hin überprüft, ob es notwendig ist, ganze Netz-Segmente zu sperren (Exchange 2010 kann maximal 800 IP-Adressen als IPBlocklistEntry verwalten).
Du solltest solche Dinge von einem Exchange-Server fernhalten. Dafür gibt es die unzähligen Malware Protection Systeme. Somit kann der Exchange Server sich auf das Verwalten, empfangen und versenden von E-Mails konzentrieren. Sammelt jemand solche Adressen?
Nein.Gruß,
Dani
Hallo,
ich würde ehrlich gesagt nie auf die Idee kommen, Port 25 direkt aufzuschalten.
Ich hänge einen Linux-Host mit fetchmail davor und richte beim ISP Postfächer ein.
Gruß,
Jörg
ich würde ehrlich gesagt nie auf die Idee kommen, Port 25 direkt aufzuschalten.
Ich hänge einen Linux-Host mit fetchmail davor und richte beim ISP Postfächer ein.
Gruß,
Jörg
Moin Jörg,
Gruß,
Dani
Ich hänge einen Linux-Host mit fetchmail davor und richte beim ISP Postfächer ein.
durch den Linux-Host gewinnst du doch nichts, oder?Gruß,
Dani
Hallo,
doch - ich baue die Verbindung ja von innen herauf aus.
Der Linux-Host holt die E-Mails aus POP3-Postfächern beim Internetanbieter.
Gruß,
Jörg
doch - ich baue die Verbindung ja von innen herauf aus.
Der Linux-Host holt die E-Mails aus POP3-Postfächern beim Internetanbieter.
Gruß,
Jörg
Hi,
wie viele Postfächer hast Du da beim ISP? Wie werden die gesichert? Wieviele User versorgst Du mit Mail?
Gruß
Jörg
wie viele Postfächer hast Du da beim ISP? Wie werden die gesichert? Wieviele User versorgst Du mit Mail?
Gruß
Jörg
Hallo,
Pro User "eins". Den Aufwand für die Pflege habe ich mit ca. 5 Minuten pro Benutzerveränderung kalkuliert. Mit anderen Worten: Er ist so gering, dass man ihn kaum wahrnimmt.
Warum sollte ich leere Postfächer sichern? Der fetchmail löscht die E-Mails nach dem Abruf, das Backup wäre somit 0 Byte groß
Die eigentliche Sicherung der Inhalte läuft dann lokal über den Exchanger.
Alle(?). Die Beschränkung ergibt sich in erster Linie durch die Internetbandbreite und wäre somit auch vorhanden, wenn ich auf Port 25 höre.
Ein Nachteil ist, dass es natürlich eine gewisse Verzögerung gibt. Aus meiner Sicht überwiegen jedoch die Vorteile. Wenn Du in Bezug auf Sicherheit, Datensicherheit, Redundanz, Ausfallsicherheit usw. die gleiche Qualität wie dein ISP erreichen möchtest, ruderst Du auf einem Teich, der für die meisten Mittelständler deutlich zu tief ist.
Gruß,
Jörg
Pro User "eins". Den Aufwand für die Pflege habe ich mit ca. 5 Minuten pro Benutzerveränderung kalkuliert. Mit anderen Worten: Er ist so gering, dass man ihn kaum wahrnimmt.
Wie werden die gesichert?
Warum sollte ich leere Postfächer sichern? Der fetchmail löscht die E-Mails nach dem Abruf, das Backup wäre somit 0 Byte groß
Die eigentliche Sicherung der Inhalte läuft dann lokal über den Exchanger.
Wieviele User versorgst Du mit Mail?
Alle(?). Die Beschränkung ergibt sich in erster Linie durch die Internetbandbreite und wäre somit auch vorhanden, wenn ich auf Port 25 höre.
Ein Nachteil ist, dass es natürlich eine gewisse Verzögerung gibt. Aus meiner Sicht überwiegen jedoch die Vorteile. Wenn Du in Bezug auf Sicherheit, Datensicherheit, Redundanz, Ausfallsicherheit usw. die gleiche Qualität wie dein ISP erreichen möchtest, ruderst Du auf einem Teich, der für die meisten Mittelständler deutlich zu tief ist.
Gruß,
Jörg
Guten Abend Jörg,
Gruß,
Dani
doch - ich baue die Verbindung ja von innen herauf aus.
genauso könnte der Exchange mit einem kl. Zusatztool die E-Mails beim ISP abrufen. Ist aus Sicht der Sicherheit kein Unterschied.Gruß,
Dani
Hallo,
der fetchmail hat nämlich eine Tracepolls-Option, mit der er Dir das Postfach in die Headerdaten schreibt, aus dem er gepullt hat.
D.h., Du kannst 10 POP3-Postfächer in ein Exchange-Postfach schieben und den Krempel dort mit serverseitigen Filterregeln in Unterordner schieben.
Das kann keines der mir bekannten Zusatztools.
Zumal man den Linux-Host ja meistens eh schon hat, da man ihn als reversen Proxy vor das OWA hängt.
Nicht?
Gruß,
Jörg
der fetchmail hat nämlich eine Tracepolls-Option, mit der er Dir das Postfach in die Headerdaten schreibt, aus dem er gepullt hat.
D.h., Du kannst 10 POP3-Postfächer in ein Exchange-Postfach schieben und den Krempel dort mit serverseitigen Filterregeln in Unterordner schieben.
Das kann keines der mir bekannten Zusatztools.
Zumal man den Linux-Host ja meistens eh schon hat, da man ihn als reversen Proxy vor das OWA hängt.
Nicht?
Gruß,
Jörg
Und wenn ich 400 Benutzerpostfächer mit insgesamt ca. 1.000 unterschiedlichen Maildressen habe?
Hallo,
dann gehörst Du zu den 5%
Gruß,
Jörg
dann gehörst Du zu den 5%
Gruß,
Jörg
