mailserver absichern

Nemesis

Nemesis

N3RD
hi,
ich habe mir nen mailserver, basierend auf exim, fetchmail, cyrus und procmail, unter debian eingerichtet, er dient eigentlich nur als lager für meine mails, damit ich per imap aus dem ganzen netz darauf zugriff habe.
ports leite ich nicht explizit zu diesem rechner weiter.
wie kann ich sicher gehen, dass der server nicht als spamschleuder missbraucht werden kann?

thx


mfg,
nemesis
 
ich hab da zwar nicht viel ahnung von aber ich denk mal das ne firewall nie verkehrt ist....... hab aber noch nciht so viel erfahrung mit linux

mfg element
 
Das ist der Grund der meisten Spammschleudern soweit ich informiert bin.
Und dagegen kannst Du Dich schuetzen, indem Du nur authentifizierte User zum Mail-Versenden zulaesst. Lies Dich mal in SASL ein, um ueber (TLS-) Verschluesselung was zu erfahren.
 
auf den server greife ich sowieso nur übers lan zu, nicht von ausserhalb.
sorgen macht mir da nur, dass von ausserhalb auch jemand zugriff haben könnte.
 
Eine gesicherte Authentifizierung ist trotzdem nicht verkehrt. Dann kann eigentlich nichts schief gehen! :)

mfg hex
 
Solange dieser Rechner nicht von Außen erreichbar ist, sollte dies alles sein.

Wenn allerdings Dienste laufen, auf die man aus dem I-Net zugreifen kann, solltest du dich auch um die Absicherung dieser Dienste kümmern.
Wenn du einen Web-Server auf deiner Maschine hast, der von Außen erreichbar ist und auf diesem irgendwelche Scripts hast, die eine User-Eingabe anbieten ... solltest du auch diese absichern.
Jeder Dienst, der nach Außen offen ist, bietet eine Angriffsmöglichkeit und wenn er geknackt wurde, dann kann der Angreifer mittels dieses Dienstes (oder dem User, der den Dienst anbietet) Mails verschicken. Also auch diesen Bereich absichern.

Eine interne Authentifizierung (also Rechnerbezogen) ist nicht sinnvoll. Da viele Sachen interne Mails verschicken. Und die Authentifizierung für alle diese USER zu pflegen, halte ich für ziemlich aufwendig und imho recht sinnlos.

Eine Authentifizierung würde ich nur für User einrichten, die von Außen den SMTPD nutzen.

BTW.: Die Absicherung eines Systems, ist nicht damit getan, daß man einzelne Dienste sichert. Betrachte deinen Server immer als Ganzes. Und jetzt ein Standard-Beispiel (irgendwie scheinen Autos und Computer zusammenzugehören ... ;))
Es nutzt nix, deinem Auto eine Wegfahrsperre zu spendieren, wenn du die Türen von der Karre nicht absperrst. Und zwar alle Türen ...

/* edit */
Da du von einem localen LAn sprichst, solltest du dich auch um die Rechner kümmern, die von Außen erreichbar sind. Auch hier muß/sollte ein Einbruch verhindert werden. Gerade weil man sein local LAN als vertrauenswürdig ansieht. Nach dem Motto. "Alles was von den lokalen Rechnern kommt kann weder gefährlich noch ein Angriff sein."
 
Zuletzt bearbeitet:
ok, aber, wenn ich keine diesnste nach aussen anbiete, dann muss ich auch keine absichern, ich glaube das habe ich (hoffentlich) soweit verstanden.

die folgenden einstellungen sollten ja dann korrekt sein?:

Code:
 Art der E-Mail-Einstellungen:

     Internet-Server; E-Mails werden direkt über SMTP verschickt und empfangen
    [B] Versand über Sendezentrale (smarthost); Empfang mit SMTP oder fetchmail[/B]
     Versand über Sendezentrale (smarthost); keine lokale E-Mail-Zustellung
     Nur lokale E-Mail-Zustellung; keine Netzwerkverbindung
     Keine Festlegung zum jetzigen Zeitpunkt

Code:
Der »E-Mail-Name« ist der Domänenname, der für E-Mail-Adressen, die 
keinen Domänennamen haben, verwendet wird. 

Dieser Name wird auch von anderen Programmen genutzt. Er sollte der  
eindeutige voll-qualifizierte Domänenname (FQDN) sein.  

Beispiel: Wenn foo@domaene.beispiel eine E-Mail-Adresse auf dem lokalen
Rechner ist, dann ist der E-Mail-Name »domaene.beispiel«.

Dieser Name taucht nicht im Absender (From:) ausgehender E-Mails auf,
wenn »Umschreiben« (rewriting) aktiviert wird. 

E-Mail-Name des Systems: 
nemesis-svr_____________________________________________________________

Code:
IP-Adressen, an denen eingehende SMTP-Verbindungen erwartet werden: 

127.0.0.1___________________________________________________________

Code:
Bitte geben Sie eine durch Semikolon getrennte Liste der Domänen an, für 
die dieser Rechner das endgültige Ziel sein soll, abgesehen vom lokalen 
Rechnernamen (nemesis-svr.Arbeitsgruppe) und »localhost«. Diese Domänen werden allgemein als »lokale Domänen« (local domains) bezeichnet.         

Eine leere Liste verhindert die lokale Zustellung.

Laut Voreinstellung werden alle angeführten Domänen gleich behandelt. 
Wenn a.beispiel und b.beispiel lokale Domänen sind, werden E-Mails an 
acc@a.beispiel und acc@b.beispiel an dasselbe endgültige Ziel geschickt.
Wenn unterschiedliche Domänen unterschiedlich behandelt werden sollen, 
müssen Sie die Konfigurationsdateien nachher selbst bearbeiten.

Weitere Domänen, für die E-Mails angenommen werden soll:                  

Nemesis-svr______________________________________________________________

da dürfte ich dann nichts eintragen:
Code:
Bitte geben Sie eine durch Semikolon getrennte Liste der
IP-Adressbereiche ein, für die das System E-Mails weitergeleiten soll,
in der Funktion einer Sendezentrale (smarthost).

Sie sollten das Standardformat »Adresse/Maske« (z. B. 194.222.242.0/24
oder 5f03:1200:836f::/48) verwenden.

Wenn das System nicht als Sendezentrale (smarthost) für andere Rechner
arbeiten soll, lassen Sie die Liste leer. 

Rechner, für die E-Mails weitergeleitet werden (Relay):
________________________________________________________________________

Code:
Bitte geben Sie die IP-Adresse oder den Rechnernamen eines               E-Mail-Servers ein, den dieses System als ausgehende Sendezentrale
(smarthost) benutzen soll. Wenn die Sendezentrale Ihre E-Mails nur an
einem anderen Port als TCP/25 annimmt, hängen Sie zwei Doppelpunkte und die Portnummer an (z. B. sendezentrale.beispiel::587 oder
192.168.254.254::2525). Die Doppelpunkte müssen in IPv6-Adressen
verdoppelt werden.

Wenn die Sendezentrale eine Authentifizierung erfordert, finden Sie in
der Datei /usr/share/doc/exim4-base/README.Debian.gz eine kurze
Anleitung zum Einrichten von SMTP-Authentifizierung.

IP-Adresse oder Rechnername der Sendezentrale für ausgehende E-Mails:

mail.nemesis-svr_________________________________________________________

das sind so die einstellungen bei denen ich mir nicht ganz sicher bin, sind diese dann so korrekt?


thx
 
Und ich würde auch generell bei jedem Server ein IDS empfehlen. Das beste und häfigste Programm dafür ist SNORT. SNORT protokolliert Hackerangriffe und verhindert sie teilweise. Das Beste ist aber, dass Snort kostenlos ist.
 

Ähnliche Themen

Mail Transport Agent auf installieren? Welchen? Oder keinen?

fetchmail-procmail-spamassassin-cyrus problem

Opensuse 10.2 Mailserver Howto

emails zentral lagern

Serversicherheit

Zurück
Oben