mailserver absichern

Dieses Thema im Forum "Security Talk" wurde erstellt von Nemesis, 02.03.2007.

  1. #1 Nemesis, 02.03.2007
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    hi,
    ich habe mir nen mailserver, basierend auf exim, fetchmail, cyrus und procmail, unter debian eingerichtet, er dient eigentlich nur als lager für meine mails, damit ich per imap aus dem ganzen netz darauf zugriff habe.
    ports leite ich nicht explizit zu diesem rechner weiter.
    wie kann ich sicher gehen, dass der server nicht als spamschleuder missbraucht werden kann?

    thx


    mfg,
    nemesis
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 element, 02.03.2007
    element

    element Guest

    ich hab da zwar nicht viel ahnung von aber ich denk mal das ne firewall nie verkehrt ist....... hab aber noch nciht so viel erfahrung mit linux

    mfg element
     
  4. #3 StyleWarZ, 02.03.2007
    StyleWarZ

    StyleWarZ Profi Daten Verschieber

    Dabei seit:
    05.03.2004
    Beiträge:
    1.929
    Zustimmungen:
    0
  5. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Und dagegen kannst Du Dich schuetzen, indem Du nur authentifizierte User zum Mail-Versenden zulaesst. Lies Dich mal in SASL ein, um ueber (TLS-) Verschluesselung was zu erfahren.
     
  6. sct

    sct Jungspund

    Dabei seit:
    01.03.2007
    Beiträge:
    11
    Zustimmungen:
    0
    Benutze TLS/SSL für IMAP/SMTP
     
  7. #6 Nemesis, 03.03.2007
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    auf den server greife ich sowieso nur übers lan zu, nicht von ausserhalb.
    sorgen macht mir da nur, dass von ausserhalb auch jemand zugriff haben könnte.
     
  8. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Eine gesicherte Authentifizierung ist trotzdem nicht verkehrt. Dann kann eigentlich nichts schief gehen! :)

    mfg hex
     
  9. #8 Nemesis, 03.03.2007
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    ja, schon, ich denke nur nicht, dass das alles ist ;)
     
  10. #9 grey, 03.03.2007
    Zuletzt bearbeitet: 03.03.2007
    grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Solange dieser Rechner nicht von Außen erreichbar ist, sollte dies alles sein.

    Wenn allerdings Dienste laufen, auf die man aus dem I-Net zugreifen kann, solltest du dich auch um die Absicherung dieser Dienste kümmern.
    Wenn du einen Web-Server auf deiner Maschine hast, der von Außen erreichbar ist und auf diesem irgendwelche Scripts hast, die eine User-Eingabe anbieten ... solltest du auch diese absichern.
    Jeder Dienst, der nach Außen offen ist, bietet eine Angriffsmöglichkeit und wenn er geknackt wurde, dann kann der Angreifer mittels dieses Dienstes (oder dem User, der den Dienst anbietet) Mails verschicken. Also auch diesen Bereich absichern.

    Eine interne Authentifizierung (also Rechnerbezogen) ist nicht sinnvoll. Da viele Sachen interne Mails verschicken. Und die Authentifizierung für alle diese USER zu pflegen, halte ich für ziemlich aufwendig und imho recht sinnlos.

    Eine Authentifizierung würde ich nur für User einrichten, die von Außen den SMTPD nutzen.

    BTW.: Die Absicherung eines Systems, ist nicht damit getan, daß man einzelne Dienste sichert. Betrachte deinen Server immer als Ganzes. Und jetzt ein Standard-Beispiel (irgendwie scheinen Autos und Computer zusammenzugehören ... ;))
    Es nutzt nix, deinem Auto eine Wegfahrsperre zu spendieren, wenn du die Türen von der Karre nicht absperrst. Und zwar alle Türen ...

    /* edit */
    Da du von einem localen LAn sprichst, solltest du dich auch um die Rechner kümmern, die von Außen erreichbar sind. Auch hier muß/sollte ein Einbruch verhindert werden. Gerade weil man sein local LAN als vertrauenswürdig ansieht. Nach dem Motto. "Alles was von den lokalen Rechnern kommt kann weder gefährlich noch ein Angriff sein."
     
  11. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  12. #10 Nemesis, 04.03.2007
    Nemesis

    Nemesis N3RD

    Dabei seit:
    28.01.2005
    Beiträge:
    2.165
    Zustimmungen:
    0
    ok, aber, wenn ich keine diesnste nach aussen anbiete, dann muss ich auch keine absichern, ich glaube das habe ich (hoffentlich) soweit verstanden.

    die folgenden einstellungen sollten ja dann korrekt sein?:

    Code:
     Art der E-Mail-Einstellungen:
    
         Internet-Server; E-Mails werden direkt über SMTP verschickt und empfangen
        [B] Versand über Sendezentrale (smarthost); Empfang mit SMTP oder fetchmail[/B]
         Versand über Sendezentrale (smarthost); keine lokale E-Mail-Zustellung
         Nur lokale E-Mail-Zustellung; keine Netzwerkverbindung
         Keine Festlegung zum jetzigen Zeitpunkt
    
    Code:
    Der »E-Mail-Name« ist der Domänenname, der für E-Mail-Adressen, die 
    keinen Domänennamen haben, verwendet wird. 
    
    Dieser Name wird auch von anderen Programmen genutzt. Er sollte der  
    eindeutige voll-qualifizierte Domänenname (FQDN) sein.  
    
    Beispiel: Wenn foo@domaene.beispiel eine E-Mail-Adresse auf dem lokalen
    Rechner ist, dann ist der E-Mail-Name »domaene.beispiel«.
    
    Dieser Name taucht nicht im Absender (From:) ausgehender E-Mails auf,
    wenn »Umschreiben« (rewriting) aktiviert wird. 
    
    E-Mail-Name des Systems: 
    nemesis-svr_____________________________________________________________         
    Code:
    IP-Adressen, an denen eingehende SMTP-Verbindungen erwartet werden: 
    
    127.0.0.1___________________________________________________________ 
    
    Code:
    Bitte geben Sie eine durch Semikolon getrennte Liste der Domänen an, für 
    die dieser Rechner das endgültige Ziel sein soll, abgesehen vom lokalen 
    Rechnernamen (nemesis-svr.Arbeitsgruppe) und »localhost«. Diese Domänen werden allgemein als »lokale Domänen« (local domains) bezeichnet.         
    
    Eine leere Liste verhindert die lokale Zustellung.
    
    Laut Voreinstellung werden alle angeführten Domänen gleich behandelt. 
    Wenn a.beispiel und b.beispiel lokale Domänen sind, werden E-Mails an 
    acc@a.beispiel und acc@b.beispiel an dasselbe endgültige Ziel geschickt.
    Wenn unterschiedliche Domänen unterschiedlich behandelt werden sollen, 
    müssen Sie die Konfigurationsdateien nachher selbst bearbeiten.
    
    Weitere Domänen, für die E-Mails angenommen werden soll:                  
    
    Nemesis-svr______________________________________________________________ 
    da dürfte ich dann nichts eintragen:
    Code:
    Bitte geben Sie eine durch Semikolon getrennte Liste der
    IP-Adressbereiche ein, für die das System E-Mails weitergeleiten soll,
    in der Funktion einer Sendezentrale (smarthost).
    
    Sie sollten das Standardformat »Adresse/Maske« (z. B. 194.222.242.0/24
    oder 5f03:1200:836f::/48) verwenden.
    
    Wenn das System nicht als Sendezentrale (smarthost) für andere Rechner
    arbeiten soll, lassen Sie die Liste leer. 
    
    Rechner, für die E-Mails weitergeleitet werden (Relay):
    ________________________________________________________________________ 
    
    Code:
    Bitte geben Sie die IP-Adresse oder den Rechnernamen eines               E-Mail-Servers ein, den dieses System als ausgehende Sendezentrale
    (smarthost) benutzen soll. Wenn die Sendezentrale Ihre E-Mails nur an
    einem anderen Port als TCP/25 annimmt, hängen Sie zwei Doppelpunkte und die Portnummer an (z. B. sendezentrale.beispiel::587 oder
    192.168.254.254::2525). Die Doppelpunkte müssen in IPv6-Adressen
    verdoppelt werden.
    
    Wenn die Sendezentrale eine Authentifizierung erfordert, finden Sie in
    der Datei /usr/share/doc/exim4-base/README.Debian.gz eine kurze
    Anleitung zum Einrichten von SMTP-Authentifizierung.
    
    IP-Adresse oder Rechnername der Sendezentrale für ausgehende E-Mails:
    
    mail.nemesis-svr_________________________________________________________ 
    das sind so die einstellungen bei denen ich mir nicht ganz sicher bin, sind diese dann so korrekt?


    thx
     
  13. #11 /\5P/\5|/\, 06.03.2007
    /\5P/\5|/\

    /\5P/\5|/\ Foren As

    Dabei seit:
    14.02.2007
    Beiträge:
    90
    Zustimmungen:
    0
    Ort:
    Herford
    Und ich würde auch generell bei jedem Server ein IDS empfehlen. Das beste und häfigste Programm dafür ist SNORT. SNORT protokolliert Hackerangriffe und verhindert sie teilweise. Das Beste ist aber, dass Snort kostenlos ist.
     
Thema:

mailserver absichern

Die Seite wird geladen...

mailserver absichern - Ähnliche Themen

  1. Mailserver ohne fixe IP-Adresse

    Mailserver ohne fixe IP-Adresse: Ich habe viele Orten gelesen das man für einen Mailserver eine fixe IP-Adresse braucht. Wäre es nicht auch möglich mit DynDNS? test.com. IN...
  2. Kleiner Mailserver unter Debian Lenny

    Kleiner Mailserver unter Debian Lenny: Hallo Leute, ich wollte mir einen kleinen Email Server für 4 - 5 Personen aufbauen. Okay, Email-Server ist (wenn ich das richtig gelesen habe) das...
  3. mdadm.conf program (Mailserver)

    mdadm.conf program (Mailserver): Moin, da ich keine Testmail von meinem Softwareraid bekomme, denke ich ich brauche einen Mailserver der diese verschickt. Dieser wird dann wohl...
  4. Mailserver soll über mehrere IP's senden

    Mailserver soll über mehrere IP's senden: Moin, ich habe einen Rootserver (Lenny), auf den mehere IP's zeigen. Ich habe mir schon vor einiger Zeit einen Mailserver nach dieser Anleitung...
  5. Meine 2 Mailserver gehen nicht

    Meine 2 Mailserver gehen nicht: Hallo, ich hoffe mal ich bin der Kategorie richtig. Ich habe folgendes Problem: Courier und Postfix haben so ihre Probleme, vor einigen Tagen...