Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SMTP-Relay öffnen

Mitglied: redhorse

redhorse (Level 1) - Jetzt verbinden

02.10.2019 um 15:08 Uhr, 1249 Aufrufe, 9 Kommentare

Hallo,

wir haben aktuell folgende Situation:

Unsere Sophos UTM ist das SMTP-Relay für den internen Exchange-Server, zugleich zeigt der MX-Record auf die UTM und es existiert ein korespondierender SPF-Record für unsere Mail-Domain.

Es gibt nun die Anforderung, dass ein externes und nicht über VPN angebundendes System mit fester IP-Adresse Mails unter unserer Absenderdomain versendet. Dieses System macht aktuell kein direktes SMTP und benötigt daher ein Relay.

Wir haben nun folgende Möglichkeiten:
1. Wir können die feste IP-Adresse in der UTM für die Benutzung des SMTP-Relays eintragen.
2. Wir können den SPF-Record um die feste IP-Adresse des Systems ergänzen und ein SMTP-Proxy auf dem System installieren.

Der Vorteil der ersten Lösung ist, dass wir über die UTM die Kontrolle über die versendeteten Mails haben. Der Nachteil ist, dass im schlimmsten Fall bei Missbrauch unsere UTM auf Blacklisten landen könnte. Dies wäre bei der zweiten Lösung nicht der Fall, jedoch fehlt jegliche Kontrolle über die versendeten Mails.

Vielleicht gibt's auch noch einen anderen Weg, oder jemand mal eine ähnliche Problemstellung gehabt?
Mitglied: BirdyB
02.10.2019 um 16:25 Uhr
Hi,
das hängt natürlich von der Sicherheit des externen Systems ab. Verschlüsseltes und authentifiziertes Relay sollte gehen...
Welchen Missbrauch würdest du erwarten?
Bitte warten ..
Mitglied: fredmy
02.10.2019 um 17:21 Uhr
Hallo,
theoretisch einfach: du ergänzt den MX-Record um den zweiten SMTP .
Baust einen zweiten SMTP auf , der muß ja nicht empfangen können...
Fertig.

Man kann auch auf einem Relay einliefern (VPN?) und dann mit der Realy-IP Mails senden!

SPF (beim Empfänger) prüft in der Regel, ob sendende IP und sendender Name ( domain) zueinander passen
Wenn nicht, wird der Mailempfang eben abgelehnt
Und da wirst du wohl eher nicht SPF ergänzen können - oder ?

Fred
Bitte warten ..
Mitglied: LordGurke
02.10.2019 um 21:19 Uhr
Ich würde zu Variante 1 tendieren - so habt ihr einmal konsolodiert die Verwaltung eurer Domain was SPF und DKIM angeht und ihr könntet notfalls auch den Versand von Mails von diesem System mit ein paar Handgriffen nötigenfalls abstellen.

Was die Gefahr des Missbrauchs angeht, musst du abschätzen - aber grundsätzlich hast du die Gefahr ja auch, wenn das System unter eigener IP sendet und bei starkem Missbrauch eure Domain blacklisted wird.
Wenn du Angst hast, dass eines Tages eventuell mal die Remote-Büchse aufgemacht und zur Spamschleuder wird, sorge dafür, dass es ein Limit gibt, wie viele Mails pro Stunde von diesem System versendet werden dürfen. Das verhindert Missbrauch dann zwar nicht, dämmt aber die Auswirkungen schnell ein.


Zitat von fredmy:
theoretisch einfach: du ergänzt den MX-Record um den zweiten SMTP .
Baust einen zweiten SMTP auf , der muß ja nicht empfangen können...
Fertig.

Wozu dann der MX-Record?
Bitte warten ..
Mitglied: certifiedit.net
03.10.2019 um 00:12 Uhr
ich glaube, er setzt MX Record mit SPF gleich.
Bitte warten ..
Mitglied: fredmy
03.10.2019 um 09:27 Uhr
Hallo,
sicher nicht !
der sendende Server (smtp-IP) muß auflösbar sein,
A record ist untauglich, smtp.domain.tld schon

Fred
Bitte warten ..
Mitglied: certifiedit.net
03.10.2019 um 10:33 Uhr
öhm, ja, muss er, das ist aber kein mx record...
Bitte warten ..
Mitglied: andy0815
03.10.2019 um 11:01 Uhr
Lösung 1 würde ich bevorzugen. Und klar, die IP bzw. DNS Name des externen Servers in der Sophos hinzufügen.

Relay ausgehend kann ja auch von der Sophos gescannt werden... bringt zusätzliche Sicherheit.

Die Geschichte mit zweiter MX ist Käse.
Bitte warten ..
Mitglied: Dani
03.10.2019 um 12:44 Uhr
Moin,
1. Wir können die feste IP-Adresse in der UTM für die Benutzung des SMTP-Relays eintragen.
Wie viele bzw. wie große E-Mails werden denn von dem 3rd Party System verschickt? Denn deine Bandbreite am Standort der Sophos wird dadurch 2x fach belastet. Einmal als Download und anschließend als Upload. Im Worst Case steht eurer Internet still...

Baust einen zweiten SMTP auf , der muß ja nicht empfangen können...
Würde ich ebenfalls bevorzugen. Gerade, wenn es um Missbrauch, Fakemails, Blacklisting geht, kannst du schnell und einfach den (v)Server herunterfahren und gut ist. Somit bleibt eurer System außen vor.


Gruß,
Dani
Bitte warten ..
Mitglied: redhorse
07.10.2019 um 12:14 Uhr
Hallo,

vielen Dank für die vielen Antworten, ich komme erst heute zum antworten.


Zitat von BirdyB:
das hängt natürlich von der Sicherheit des externen Systems ab. Verschlüsseltes und authentifiziertes Relay sollte gehen...
Welchen Missbrauch würdest du erwarten?

Hier ist das Problem, das externe System wird von einer anderen Abteilung unseres Unternehmens installiert und administriert. Ich kann daher keinerlei Einschätzung über die Sicherheit des Systems treffen, die Kommunikation mit dem Relay ist simples SMTP ohne Verschlüsselung und Authentifizierung (bzw. erfolgt die Authentifizierung über unsere dedizierte IP-Adresse).


Zitat von LordGurke:
Wenn du Angst hast, dass eines Tages eventuell mal die Remote-Büchse aufgemacht und zur Spamschleuder wird, sorge dafür, dass es ein Limit gibt, wie viele Mails pro Stunde von diesem System versendet werden dürfen. Das verhindert Missbrauch dann zwar nicht, dämmt aber die Auswirkungen schnell ein.

Diese Einschränkungen können wir auf der UTM nicht konfigurieren, wir können daher nur anhand der Logs nachträglich wie Du schon sagst die IP-Adresse wieder sperren.


Zitat von Dani:
Baust einen zweiten SMTP auf , der muß ja nicht empfangen können...
Würde ich ebenfalls bevorzugen. Gerade, wenn es um Missbrauch, Fakemails, Blacklisting geht, kannst du schnell und einfach den (v)Server herunterfahren und gut ist. Somit bleibt eurer System außen vor.

Das wäre auch noch eine Möglichkeit.

Fazit:
Grundsätzlich lese ich hier die klare Meinung heraus, dass wir doch eher unser SMTP Relay verwenden sollten, um Kontrolle und Überblick zu behalten und notfalls eingreifen zu können. Der SPF bleibt dann wie er ist ("v=spf1 mx -all").

Wir müssen nun überlegen, ob wir einen zweiten SMTP verwenden oder nicht.
Bitte warten ..
Ähnliche Inhalte
E-Mail
Mailserver - SMTP Relay
Frage von WaishonE-Mail8 Kommentare

Hallo, ich bin aktuell ein bisschen am herumexperimentieren mit einem Mailserver auf Debian 8 mit Postfix und Dovecot. Dieser ...

Exchange Server

Exchange 2010 SMTP-Connector - zusätzliches Relay

Frage von altmetallerExchange Server6 Kommentare

Hallo, in meinem Testnetz (basierend auf einem SBS2011) möchte ich von diversen Geräten (IMM-Konsole, RAID-Controller, NAS, Backup-Software, USV-Software, VPN-Gateways ...

Windows Server

SMTP Relay über Gmail funktioniert nicht

gelöst Frage von JohnWorksWindows Server10 Kommentare

Hallo Zusammen, ich habe Anleitung ( ) den SMTP-Server hinzugefügt und soweit konfiguriert. Nach der Installation und Konfiguration werden ...

E-Mail

Exchange mit Postfix als SMTP Relay - Neuaufbau

Frage von staybbE-Mail8 Kommentare

Hallo Momentan haben wir folgende Konstellation im Einsatz: Postfix mit ClamAV und SpamAssassin welcher eMails von überall empfängt WWW ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 16 StundenMonitoring

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 2 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 4 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 6 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android22 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Windows Server
DCPromo bleibt bei Migration Server 2008R2 auf 2016 hängen
gelöst Frage von Leo-leWindows Server20 Kommentare

Hallo Forum, wir sind gerade dabei, unsere beiden DCs auf Server 2016 zu migrieren. Aktuell hängt der zusätzlich ins ...

Ausbildung
Wie wird man zum Systemadministrator?
gelöst Frage von DavidHergAusbildung19 Kommentare

Guten Abend zusammen, Ich hatte hier schon ein paar Fragen gestellt, und mir wurde super weiter geholfen! Ich mache ...

Windows Server
Denselben Port auf verschiedenen Netzwerkkarten nutzen
gelöst Frage von entchenbrotWindows Server17 Kommentare

Hi wir haben einen Server PC mit verschiedenen Netzwerkkarten als Art Gaming-Server und würden gerne ein Spiel in zwei ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...