{"id":2225,"date":"2009-02-25T23:03:00","date_gmt":"2009-02-25T22:03:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/e-mail-sicherheit-mit-dem-smtp-proxy-2\/"},"modified":"2016-08-23T15:10:00","modified_gmt":"2016-08-23T13:10:00","slug":"e-mail-sicherheit-mit-dem-smtp-proxy-2","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2009\/02\/e-mail-sicherheit-mit-dem-smtp-proxy-2\/","title":{"rendered":"E-Mail-Sicherheit mit dem SMTP-proxy (2)"},"content":{"rendered":"<p>Als Fortsetzung zu <a href=\"http:\/\/de.watchguard-blog.com\/2009\/02\/e-mail-sicherheit-mit-dem-smtp-proxy-1.html\">Teil 1 von gestern<\/a> bietet sich die folgende \u00dcberlegung an:<\/p>\n<p>2. Positiv-Liste (Whitelisting) aller existierenden E-Mail-Adressen in Ihrer Domain<\/p>\n<p>Wenn auf Ihrem Mailserver nicht mehr als etwa 300 (verschiedene) E-Mail-Adressen liegen, sollten Sie erw\u00e4gen, ALLE existierenden E-Mail-Adressen im <em>SMTP-Proxy > Properties > Adress > Rcpt To<\/em> einzupflegen. Die WatchGuard Firebox w\u00fcrde dann nur noch E-Mails an eben diese Adressen durchlassen &#8211; und k\u00f6nnte alle anderen E-Mails mit einer sauberen SMTP-Fehlermeldung &#8220;550 Mailbox Unavailable&#8221; <strong>ABLEHNEN<\/strong> (Deny).<\/p>\n<p>Warum ist das interessant und wichtig? Viele Spammer generieren Spam-Mails an willk\u00fcrlich erzeugte E-Mail-Adressen (john@meinefirma.de, joe@meinefirma.de,&#8230;) in der Hoffnung, vielleicht eine existierende Adresse zu erwischen oder in einem Sammel-Postfach zu landen. Ein korrekt konfigurierter Mailserver m\u00fcsste bei jeder unzustellbaren E-Mail einen Unzustellbarkeits-Bericht erzeugen (NDR, Non Delivery Report) und an den vermeintlichen (!) Absender schicken. Die Absende-E-Mail-Adresse ist im Spam-Umfeld jedoch meist genauso gefaked, existiert nicht oder der &#8220;echte&#8221; f\u00fcr die mi\u00dfbrauchte Domain zust\u00e4ndige Ziel-Mailserver verweigert die Annahme. Damit bleibt unser EIGENER Mailserver zun\u00e4chst einmal auf dem ausgehenden Unzustellbarkeitsbericht sitzen! Das verstopft im Extremfall die Ausgangs-Warteschlangen (sprich Resourcen im Hauptspeicher, Festplatte) und kann sich durchaus auch zu einer <strong>DOS-Attacke (Denial of Service)<\/strong> ausweiten!<br \/>Wenn Ihr Mailserver aber von dem SMTP-Proxy der WatchGuard Firebox nur noch solche E-Mails vorgelegt bekommt, die er intern auch tats\u00e4chlich zustellen kann, gibt es eben keine unzustellbaren E-Mails mehr. Damit ist das Thema &#8220;unzustellbare Unzustellbarkeits-Berichte&#8221; vom Tisch und Ihr Mailserver freut sich \u00fcber <strong>deutlich weniger Last!<\/strong> \ud83d\ude42<\/p>\n<p>Ob dieser Ansatz f\u00fcr Sie praktikabel ist, h\u00e4ngt von der Anzahl Ihrer existierenden E-Mail-Adressen und deren Wechsel-H\u00e4ufigkeit ab. Ich kenne Installationen mit ca. 300 E-Mail-Adressen, bei denen vielleicht zwei oder drei Mal im Monat diese Liste nachgepflegt werden muss. Der Nutzen ist dann DEUTLICH h\u00f6her als der administrative Aufwand. Leider findet <strong>kein dynamischer Abgleich<\/strong> per LDAP- oder Active Directory-Abfrage statt &#8211; die Liste muss <strong>H\u00c4NDISCH<\/strong> nachgepflegt werden.<br \/>Sie k\u00f6nnen die E-Mail-Adressen entweder einzeln \u00fcber die GUI eingeben oder nutzen daf\u00fcr einen XML-Editor, um fertig vorbereitete Tags mit Cut&#038;Paste direkt in die Konfigurationsdatei einzubauen (Achtung: nat\u00fcrlich ist hierbei Vorsicht geboten!) Selbst bei 300 Adressen dauert die Eingabe \u00fcber die GUI nicht besonders lange, wenn Sie z.B. den Domainnamen in die Zwischenablage legen, so dass Sie praktisch nur den Teil vor dem @-Zeichen eintippen m\u00fcssen&#8230;<\/p>\n<p><a href=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/SaXARvLHkMI\/AAAAAAAAAFU\/pDnKDWF_Q34\/s1600-h\/smtp-rcpt-to-1.jpg\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 320px; height: 317px;\" src=\"http:\/\/1.bp.blogspot.com\/_haYpXd-8uFA\/SaXARvLHkMI\/AAAAAAAAAFU\/pDnKDWF_Q34\/s320\/smtp-rcpt-to-1.jpg\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5306859146879406274\" \/><\/a><\/p>\n<p>In diesem Screenshot werden noch zwei erweiterte Funktionen aufgezeigt. Durch einen Klick auf &#8220;Change View&#8221; oben rechts \u00e4ndert sich die bisherige einfache Ansicht in die erweiterte Darstellung. Hier haben Sie die M\u00f6glichkeit, mit &#8220;Up&#8221; und &#8220;Down&#8221; auch die Reihenfolge festzulegen, in der die einzelnen Regeln abgearbeitet werden (jede E-Mail-Adresse ist praktisch eine eigene Regel).<br \/>Au\u00dferdem k\u00f6nnen Sie hier mit der Rewrite-Funktion arbeiten, um einzelne Ziel-Adressen umzuschreiben. Wenn Sie hier mit einer Wildcard arbeiten, k\u00f6nnen Sie z.B. ein Sammel-Postfach f\u00fcr alle nicht vorher einzeln aufgef\u00fchrten Adressen schaffen. Ich bin aber kein Freund von diesem Ansatz &#8211; ich lasse lieber unzustellbare E-Mails von der WatchGuard Firebox ABLEHNEN.<\/p>\n<p>(Fortsetzung folgt&#8230;)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Als Fortsetzung zu Teil 1 von gestern bietet sich die folgende \u00dcberlegung an: 2. Positiv-Liste (Whitelisting) aller existierenden E-Mail-Adressen in Ihrer Domain Wenn auf Ihrem Mailserver nicht mehr als etwa 300 (verschiedene) E-Mail-Adressen liegen, sollten Sie erw\u00e4gen, ALLE existierenden E-Mail-Adressen im SMTP-Proxy > Properties > Adress > Rcpt To einzupflegen. Die WatchGuard Firebox w\u00fcrde dann nur noch E-Mails an eben diese Adressen durchlassen &#8211; und &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2009\/02\/e-mail-sicherheit-mit-dem-smtp-proxy-2\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">E-Mail-Sicherheit mit dem SMTP-proxy (2)<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[69,336,337,277,278,292,54,332],"class_list":["post-2225","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-active-directory","tag-application-proxy","tag-e-mail-sicherheit","tag-fireware","tag-fireware-pro","tag-konfigurationsdatei","tag-smtp","tag-xml"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2225"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2225"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2225\/revisions"}],"predecessor-version":[{"id":2325,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2225\/revisions\/2325"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}