Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
server:spam-relay [2006/11/17 21:29] – Externe Bearbeitung 127.0.0.1 | server:spam-relay [2009/03/22 18:59] (aktuell) – dsbltesters entfernt, Dienst non-existent st | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Mailserver: Was ist ein offenes Relay? ====== | ||
+ | Als offenes Relay wird ein Mailserver bezeichnet, der Mails weiterleitet, | ||
+ | Beispiel: | ||
+ | Der Mailserver " | ||
+ | |||
+ | Erlaubt sollten sein: | ||
+ | |||
+ | * Mails an z.B. " | ||
+ | * Mails von z.B. " | ||
+ | |||
+ | |||
+ | aber nicht: | ||
+ | |||
+ | * Mails von " | ||
+ | * Mails mit gefälschten Absenderadressen aus der Domain " | ||
+ | |||
+ | |||
+ | Diese falsch konfigurierten Mailserver werden meist nach wenigen Minuten Onlinezeit automatisiert gefunden und dann von Spammern für den Versand ihrer Massenmails verwendet. | ||
+ | |||
+ | Abgesehen von der Belästigung der Empfänger dieser Werbebotschaften können für den Betreiber des offenen Relays extreme Kosten durch den generierten Traffic entstehen. Zudem wird das offene Relay schnell in sogenannten [[Blacklists]] eingetragen, | ||
+ | |||
+ | |||
+ | ===== Wie kann ich bei meinem Mailserver ein offenes Relay verhindern? ===== | ||
+ | Bei eigentlich jeder Mailserversoftware sind Regelmechanismen vorhanden, die ein unautorisiertes Versenden von Mails verhindern können. | ||
+ | |||
+ | Grundsätzlich: | ||
+ | |||
+ | * Mailversand ohne Authentifizierung wenn überhaupt nur von firmeninternen IP-Adressen zulassen | ||
+ | * Authentifizierungstechniken wie SMTP-Auth (zur Not auch POP-before-SMTP) beim Versand von Mails erzwingen | ||
+ | * Annahme von Mails ohne Authentifizierung nur für eigene Domains erlauben | ||
+ | |||
+ | |||
+ | Beispiel für Postfix: | ||
+ | < | ||
+ | #### SMTP AUTH verwenden | ||
+ | smtpd_sasl_auth_enable = yes | ||
+ | pwcheck_method = saslauthd | ||
+ | smtpd_recipient_restrictions = permit_sasl_authenticated, | ||
+ | # nur fuer Outlook Clients | ||
+ | broken_sasl_auth_clients = yes | ||
+ | #### END SMTP AUTH enable | ||
+ | </ | ||
+ | |||
+ | Mit diesen Konfigurationseinträgen wird Postfix nur noch per SMTP-Auth geprüften Clients den Mailversand gestatten. | ||
+ | |||
+ | |||
+ | ===== Relaytests per Webbrowser ===== | ||
+ | http:// | ||
+ | |||
+ | Dieser Test hat den Nachteil, dass er innerhalb einer bestimmten Zeitspanne immer nur ein mal gestartet werden kann. Aber man kann entfernte Server damit sehr einfach testen. | ||
+ | |||
+ | http:// | ||
+ | Dauert zwar einige Tage, scheint aber sehr gründlich vorzugehen. | ||
+ | |||
+ | automatisierter Relaytest per Telnet | ||
+ | |||
+ | telnet relay-test.mail-abuse.org | ||
+ | |||
+ | Weitere Eingaben sind nicht erforderlich. Der eigentliche Relay-Test wird dabei von mail-abuse durchgeführt, | ||
+ | |||
+ | Diese Tests können mehrfach wiederholt werden und eignen sich hervorragend zum Testen von Einstellungsänderungen. | ||
+ | |||
+ | Wichtig: Es wird ausschließlich der eigene Rechner getestet, Voraussetzung ist natürlich, dass an diesem Rechner auch ein Mailserver arbeitet. Relay-Tests fremder Server lassen sich z.B. über einen manuellen Telnet-Test wie nachfolgend beschrieben durchführen. | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== manueller Relaytest per Telnet ===== | ||
+ | telnet mail.meinedomain.de 25 | ||
+ | |||
+ | Sie sollten erhalten | ||
+ | |||
+ | 220 cygnus.mail-abuse.org ESMTP Postfix | ||
+ | |||
+ | Nun ein "HELO domain.tld" | ||
+ | < | ||
+ | Z.B.: HELO xyz.xx | ||
+ | 250 cygnus.mail-abuse.org | ||
+ | MAIL FROM: xx@xyz.xx | ||
+ | 250 Ok | ||
+ | RCPT TO: xx@xyz.xx (Hier gueltige E-Mailadresse eintragen.) | ||
+ | 554 < | ||
+ | </ |