mr.it.sec
Goto Top

Update für interner Mailserver sinnvoll?

Hallo Leute!

ich betreibe einen internen Mailserver (Ubuntu, Postfix, Dovecot, Fetchmail), der Nachrichten von öffentlichen Mailservern abholt und dort einliefert.

Das heißt, der interne Mailserver ist von außerhalb des Netzwerks (also vom Internet aus) nicht erreichbar und kann per Firewall-Regeln nur mit den öffentlichen Mailservern kommunizieren und zu sonst keiner Adresse.

Bisher läuft der interne Server noch mit der Erstkonfiguration wunderbar stabil, ohne dass ich jemals Updates der Programme (Ubuntu, Postfix, Dovecot, Fetchmail) durchgeführt habe.

Was ist eure Empfehlung und warum: Sollten auch bei einem internen Mailserver die Programme (Ubuntu, Postfix, Dovecot, Fetchmail) regelmäßig aktualisiert werden? Denn jedes Update birgt eben die Gefahr, dass etwas nicht mehr funktioniert. Und vor allem ist - wie gesagt - der Mailserver ja nicht exponiert.

Danke für eure Meinungen!

Content-ID: 3051079078

Url: https://administrator.de/contentid/3051079078

Ausgedruckt am: 25.11.2024 um 12:11 Uhr

bitnarrator
bitnarrator 11.06.2022 um 22:13:50 Uhr
Goto Top
Kein Update bei einem System mit Internetzugriff zu machen (und wenns nur einige ips sind, kann ja auch durch andere interne Geräte infiziert werden) ist grob fahrlässig.


"Braucht mein Auto TÜV? Ich fahr doch nur zum Bäcker"

VG
LordGurke
LordGurke 11.06.2022 um 22:15:32 Uhr
Goto Top
Die Systeme verarbeiten doch E-Mails, die von irgendwo aus dem Internet kommen.
Und so könnte eine Sicherheitslücke getriggert werden, auch wenn die Mail über Umwege eingeliefert wurde.
117471
117471 12.06.2022 um 00:18:27 Uhr
Goto Top
Hallo,

Zitat von @bitnarrator:

Kein Update bei einem System mit Internetzugriff zu machen

Bitte die Namen der involvierten Programme ablesen und vor dem Antworten schauen, was die so machen.

Ich denke, ein Angriff wäre schon sehr „speziell“.

Gruß,
Jörg
Lochkartenstanzer
Lochkartenstanzer 12.06.2022 aktualisiert um 00:54:05 Uhr
Goto Top
Zitat von @Mr.IT.Sec:

Hallo Leute!

Was ist eure Empfehlung und warum: Sollten auch bei einem internen Mailserver die Programme (Ubuntu, Postfix, Dovecot, Fetchmail) regelmäßig aktualisiert werden?

Moin,

Ja, man sollte den Mailserver auf dem aktuellen halten. Auch wenn er nicht mit Gott und der Welt kommuniziert, so greifen dich Clients, die befallen oder einfach nur bösartig sein könnten auf 8hn zu. Es gab schon gravierende SSL-Bugs, die remote code execution zugelassen haben. Auch die externen Mailserver können irgendwann bösartig sein, wenn sie von jemandem übernommen werden.

Denn jedes Update birgt eben die Gefahr, dass etwas nicht mehr funktioniert.

Genau deswegen hat man eine Backupstrategie, mit der man ein Rollback machen kann.

Und vor allem ist - wie gesagt - der Mailserver ja nicht exponiert.

Doch ist er. Gegenüber den Clients und den externen Mailservern ist er exponiert. İhr handelt also grob fahrlässig, wenn ihr kein Updatekonzept habt.

lks
Lochkartenstanzer
Lochkartenstanzer 12.06.2022 um 00:57:25 Uhr
Goto Top
Zitat von @117471:

Hallo,

Ich denke, ein Angriff wäre schon sehr „speziell“.


Nicht unbedingt. İn allen dieser Programme gab es schon Bugs, die sich ausnutzen ließen.

Es ist grob fahrlässig da keine Updates zu machen, ohne vorher eine echte Risikoanalyse und -Abwägung zu machen.

lks
maretz
maretz 12.06.2022 um 08:55:33 Uhr
Goto Top
Naja-das ein update bei einem Mailserver dazu führt das grad die Urgesteine (Postfix, Fetchmail,...) nicht mehr gehen ist schon arg unwahrscheinlich. Ich würde da wenig Sorgen haben da solche Fehler mit sehr grosser Chance deutlich früher bei deutlich grösseren Systemen ausgefallen wären.

Weiterhin solltest du ja generell eh ein Backup deines Servers haben - was im Zweifelsfall ja auch den Ausfall eher überschaubar hält. Wenn es ein komplett kritisches System wäre würde ich eh z.B. als VM das ganze im Cluster betreiben - schon hast du noch weniger Sorgen (und da es bei den Programmen Lizenzmässig keine Kosten sind wäre das jetzt nicht der ganz üble Aufwand).

Zum Schluss würde ich mir einfach die Frage stellen: Wenn du Angst vorm Update hast weil etwas dann nicht mehr laufen KÖNNTE - wie sicherst du das System bei einem Hardwaremässigen Ausfall oder sonst einer Fehlfunktion? Gar nicht updaten würde für mich auch nicht unbedingt die beste Option sein - auch weil du ja vermutlich an den Clients auch Updates einspielst. Blöd wenn du da dann irgendwelche Probleme hast (z.B. Chrome der plötzlich Zertifikate nicht mehr akzeptiert) und dein Server aber die wg. alter Software gar nicht "in neu" ausliefern kann.
sabines
sabines 12.06.2022 um 14:24:21 Uhr
Goto Top
Moin,

ich empfehle mittlerweile grundsätzlich und umfassend Updates zu installieren (natürlich mit entsprechender Strategie) und auch die Firmware (in der Peripherie) dabei nicht außer Acht zu lassen.

Aktueller Hintergrund: auf den Infrastrukturswitschen soll ein Sicherheitsfeature aktiviert werden, da die aber seit laaanger Zeit keiner mehr angefasst hat, muss da jetzt mit Zwischenpatches und was weiß ich noch was alles gearbeitet werden, bis das aktiviert werden kann.

Lange Rede kurzer Sinn, abwägen und im Zweifel für das Update.

Viele Grüße
SeaStorm
SeaStorm 12.06.2022 um 15:30:19 Uhr
Goto Top
ist dir klar das ein Browser, und damit jeder Client in deinem Netzwerk der eine "böse" Website ansurft, oder auch nur eine gehackte Werbeanzeige einblendet, dein internes Netz abscannen und entsprechend exploiten kann?
"Nur intern erreichbar" ist nur marginal sicherer als exposed.

Teste, Patche. Immer.
Mr.IT.Sec
Mr.IT.Sec 12.06.2022 um 16:53:35 Uhr
Goto Top
Danke euch allen für die Anmerkungen.

Ich denke es ist tatsächlich sinnvoll das Update zu fahren.

Das Update läuft bereits. Dauert aber ein wenig. face-smile
3016726741
3016726741 13.06.2022 um 09:51:18 Uhr
Goto Top
Wenn er mit den öffentlichen Mailservern kommuniziert, dann kann er sich genauso infizieren.

Wenn du die Gefahr als "arg unwahrscheinlich" definierst, dann ist immer noch eine prozentuale Restchance, dass es ihn doch erwischt.

Und somit wäre die Frage nach Updates bereits erklärt.

Sollte einem aber auch selbst auffallen.
RJX184
RJX184 13.06.2022 um 10:24:04 Uhr
Goto Top
Hallo,

ich persönlich wurde auch sehr empfehlen alle Systeme auf den aktuellen Stand zu halten. Das Risiko, dass nach einem Update nichts mehr funktioniert, ist eher gering, wenn man regelmäßig und ordentlich Backups macht. Und wenn es mal zu Problemfällen kommt, dann ist das ja die Aufgabe eines Admins sich darum zu kümmern. Ich würde sogar so weit gehen und sagen, dass aktuellere Systeme grundsätzlich stabiler sind und man auch einen deutlich besseren Support erhält.

Was die Sicherheit betrifft. Der Mailserver muss ja nicht mal zwingend mit Systemen auserhalb des Unternehmens kommunizieren, um dennoch ein Sicherheitsproblem (falls eine bekannte Lücke bei der alten Version vorhanden sein sollte) zu sein. Stell dir vor, dass ein Mitarbeiter eine Schadsoftware einfängt. Die Schadsoftware verschlüsselt nicht nur die Daten des Mitarbeiters sondern scannt nebenbei auch noch das interne Netzwerk. Wenn nun also bei dem internen Mailserver nun eine (inzwischen bekannte) Lücke vorhanden sein sollte, dann kann sich die Schadsoftware über diesen sich nun tiefer in das Netzwerk bohren.

MfG
108012
108012 13.06.2022 um 19:33:37 Uhr
Goto Top
Hallo,

ich betreibe einen internen Mailserver (Ubuntu, Postfix, Dovecot, Fetchmail), der Nachrichten von
öffentlichen Mailservern abholt und dort einliefert.
Wenigstens mal über ClamAV plus AmavisD und SpamAssassin nachgedacht?

Das heißt, der interne Mailserver ist von außerhalb des Netzwerks (also vom Internet aus) nicht erreichbar
und kann per Firewall-Regeln nur mit den öffentlichen Mailservern kommunizieren und zu sonst keiner Adresse.
Kann ja alles sein, und was spricht gegen ein Backup des ganzen Servers und dann die Updates einspielen
damit Lücken nicht ausgenutzt werden können? Kann man dann aber auch wieder rückgängig machen!

Bisher läuft der interne Server noch mit der Erstkonfiguration wunderbar stabil, ohne dass ich jemals Updates der
Programme (Ubuntu, Postfix, Dovecot, Fetchmail) durchgeführt habe.
So baut man eins A Virenschleudern!

Dobby
117471
117471 13.06.2022 um 19:38:52 Uhr
Goto Top
Zitat von @108012:

Wenigstens mal über ClamAV plus AmavisD und SpamAssassin nachgedacht?

Warum? Das greift erst, wenn die einzige (passive) Schnittstelle in Richtung Internet (fetchmail) bereits zugegriffen hat.

In Bezug auf die hier dargestellten Bedenken ist das absolut irrelevant.

Kann ja alles sein, und was spricht gegen ein Backup des ganzen Servers und dann die Updates einspielen

Was spricht für diesen unnötigen Aufwand?

So baut man eins A Virenschleudern!

Nein. Absolut nicht. Im Gegenteil - selbst wenn der Server kompromittiert ist, kann er nur schwerlich zum Versand genutzt werden, da ihm schlichtweg die Erreichbarkeit fehlt.

Aber vielleicht weißt Du auch "einfach nur" nicht, was für ein Programm fetchmail ist face-smile

Gruß,
Jörg