{"id":632,"date":"2016-06-16T17:47:42","date_gmt":"2016-06-16T15:47:42","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=632"},"modified":"2016-06-17T17:04:39","modified_gmt":"2016-06-17T15:04:39","slug":"e-mail-sicherheit-mit-dem-watchguard-smtp-proxy","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2016\/06\/e-mail-sicherheit-mit-dem-watchguard-smtp-proxy\/","title":{"rendered":"E-Mail-Sicherheit mit dem WatchGuard SMTP-Proxy"},"content":{"rendered":"

Der Application Proxy f\u00fcr SMTP<\/strong>\u00a0(SMTP-Proxy) steht in allen WatchGuard Firebox XTM Software-Versionen zur Verf\u00fcgung – auch schon in den ganz alten Versionen des WFS v7.x. Heute m\u00f6chte ich auf ein paar Aspekte des Themas “E-Mail-Sicherheit” eingehen, die schon mit den Bordmitteln der WatchGuard Firebox (also ohne<\/span> die optionalen WatchGuard Security Services) m\u00f6glich sind. Voraussetzung f\u00fcr die nachfolgenden \u00dcberlegungen<\/strong> ist, dass\u00a0Ihre Firma bzw. Organisation ihre\u00a0eingehenden E-Mails per SMTP<\/strong> zugesendet bekommt – dass Sie also\u00a0in der Regel einen richtigen Mailserver f\u00fcr Ihre Domain verwenden – und nicht wie im Privatumfeld verbreitet “Postf\u00e4cher” bei einem externen Provider nutzen, die \u00fcber POP3 oder IMAP abgefragt werden!<\/p>\n

1. Einschr\u00e4nkung der erlaubten (Ziel-)E-Mail-Domains<\/h3>\n

\"smtp-proxy-address-rcpt-to\"<\/a><\/p>\n

Spam-Versender versuchen h\u00e4ufig, schlecht abgesicherte Mailserver im Internet f\u00fcr Massenversendungen zu missbrauchen. Sie suchen so genannte Open Mail Relays<\/strong>. Das sind Mailserver, die erst einmal ALLE E-Mails annehmen – egal an welche Empf\u00e4nger-Adresse sie gerichtet sind – und sich dann im n\u00e4chsten Schritt um die korrekte Zustellung k\u00fcmmern. Stellen Sie sich vor: IHR hauseigener Mailserver bekommt eine E-Mail zugeschickt, die an die Adresse\u00a0blabla@blabla-domain.de<\/strong> gerichtet ist. Nun, diese Adresse kennt er nicht, weil Ihre eigene Domain eben anders hei\u00dft \ud83d\ude42 Wenn Ihr Mailserver schlecht konfiguriert ist, nimmt er die E-Mail an und versucht dann unter “eigenem Namen” (!) die E-Mail an die tats\u00e4chliche Empf\u00e4nger-Domain “blabla-domain.de” zuzustellen. Damit tritt jedoch IHR Mailserver als Spam-Versender in Erscheinung – nicht mehr der eigentliche Spam-Absender. Die Folge wird sein, dass IHR Mailserver auf einer Blacklist von Anti-Spam-Organisationen auftauchen wird. Viele andere Mailserver WELTWEIT werden dann k\u00fcnftig auch LEGITIME E-Mails von Ihnen ABLEHNEN oder im schlimmsten Fall ungesehen verwerfen!<\/p>\n

Die beste Gegenma\u00dfnahme ist nat\u00fcrlich: Sorgen Sie daf\u00fcr, dass Ihr Mailserver korrekt konfiguriert ist – also nur E-Mails an genau die Domain(s) annimmt, f\u00fcr die er auch zust\u00e4ndig ist! Alternativ (oder besser: erg\u00e4nzend dazu) k\u00f6nnen Sie auch den SMTP-Proxy der WatchGuard Firebox einsetzen. In den Properties gibt es das Untermen\u00fc “Address” und dort “Rcpt To”. Dort steht standardm\u00e4\u00dfig ein Stern * als allgemeine Wildcard f\u00fcr Allow. Wenn Sie den Stern durch Wildcards mit den Domain-Namen ersetzen, f\u00fcr die Ihr Mailserver die Mails annehmen soll – Beispiel: *@meinefirma.de, *@meinefirma.com – wird die WatchGuard Firebox auch nur noch derartige E-Mails zu Ihrem Mailserver durchlassen – ein wirksames Gegenmittel gegen ungewollten Missbrauch als Open Mail Relay.<\/p>\n

2. Positiv-Liste (Whitelisting) aller existierenden E-Mail-Adressen in Ihrer Domain<\/h3>\n

Wenn auf Ihrem Mailserver nicht mehr als etwa 300 (verschiedene) E-Mail-Adressen liegen, sollten Sie erw\u00e4gen<\/span>, ALLE existierenden E-Mail-Adressen im\u00a0SMTP-Proxy > Properties > Adress > Rcpt To<\/em> einzupflegen. Die WatchGuard Firebox w\u00fcrde dann nur noch E-Mails an eben diese Adressen durchlassen – und k\u00f6nnte alle anderen E-Mails mit einer sauberen SMTP-Fehlermeldung “550 Mailbox Unavailable” ABLEHNEN<\/strong> (Deny).<\/p>\n

\"smtp-proxy-address-rcpt-to-2\"<\/a><\/p>\n

Warum ist das interessant und wichtig? Viele Spammer generieren Spam-Mails an willk\u00fcrlich erzeugte E-Mail-Adressen (john@meinefirma.de, joe@meinefirma.de,…) in der Hoffnung, vielleicht eine existierende Adresse zu erwischen oder in einem Sammel-Postfach zu landen. Ein korrekt konfigurierter Mailserver m\u00fcsste bei jeder unzustellbaren E-Mail einen Unzustellbarkeits-Bericht erzeugen (NDR, Non Delivery Report) und an den vermeintlichen (!) Absender schicken. Die Absende-E-Mail-Adresse ist im Spam-Umfeld jedoch meist genauso gefaked, existiert nicht oder der “echte” f\u00fcr die missbrauchte Domain zust\u00e4ndige Ziel-Mailserver verweigert die Annahme. Damit bleibt unser EIGENER Mailserver zun\u00e4chst einmal auf dem ausgehenden Unzustellbarkeitsbericht sitzen! Das verstopft im Extremfall die Ausgangs-Warteschlangen (sprich Resourcen im Hauptspeicher, Festplatte) und kann sich durchaus auch zu einer DOS-Attacke (Denial of Service)<\/strong> ausweiten!
\nWenn Ihr Mailserver aber von dem SMTP-Proxy der WatchGuard Firebox nur noch solche E-Mails vorgelegt bekommt, die er intern auch tats\u00e4chlich zustellen kann, gibt es eben keine unzustellbaren E-Mails mehr. Damit ist das Thema “unzustellbare Unzustellbarkeits-Berichte” vom Tisch und Ihr Mailserver freut sich \u00fcber deutlich weniger Last!<\/strong> \ud83d\ude42<\/p>\n

Ob dieser Ansatz f\u00fcr Sie praktikabel ist, h\u00e4ngt von der Anzahl Ihrer existierenden E-Mail-Adressen und deren Wechsel-H\u00e4ufigkeit ab. Ich kenne Installationen mit ca. 300 E-Mail-Adressen, bei denen vielleicht zwei oder drei Mal im Monat diese Liste nachgepflegt werden muss. Der Nutzen ist dann DEUTLICH h\u00f6her als der administrative Aufwand. Leider findet kein dynamischer Abgleich<\/strong> per LDAP- oder Active Directory-Abfrage statt – die Liste muss H\u00c4NDISCH<\/strong> nachgepflegt werden.\u00a0Sie k\u00f6nnen die E-Mail-Adressen entweder einzeln \u00fcber die GUI eingeben oder nutzen daf\u00fcr einen XML-Editor, um fertig vorbereitete Tags mit Cut&Paste direkt in die Konfigurationsdatei einzubauen (Achtung: nat\u00fcrlich ist hierbei Vorsicht geboten!) Selbst bei 300 Adressen dauert die Eingabe \u00fcber die GUI nicht besonders lange, wenn Sie z.B. den Domainnamen in die Zwischenablage legen, so dass Sie praktisch nur den Teil vor dem @-Zeichen eintippen m\u00fcssen…<\/p>\n

In diesem Screenshot werden noch zwei erweiterte Funktionen aufgezeigt. Durch einen Klick auf Change View<\/strong>\u00a0oben rechts \u00e4ndert sich die bisherige einfache Ansicht in die erweiterte Darstellung. Hier haben Sie die M\u00f6glichkeit, mit “Up” und “Down” auch die Reihenfolge festzulegen, in der die einzelnen Regeln abgearbeitet werden (jede E-Mail-Adresse ist praktisch eine eigene Regel).\u00a0Au\u00dferdem k\u00f6nnen Sie hier mit der Rewrite-Funktion<\/strong> arbeiten, um einzelne Ziel-Adressen umzuschreiben. Wenn Sie hier mit einer Wildcard arbeiten, k\u00f6nnen Sie z.B. ein Sammel-Postfach f\u00fcr alle nicht vorher einzeln aufgef\u00fchrten Adressen schaffen. Ich bin aber kein Freund von diesem Ansatz – ich lasse lieber unzustellbare E-Mails von der WatchGuard Firebox ABLEHNEN.<\/p>\n

3. Von extern kommende E-Mails “aus der eigenen Domain” ablehnen<\/h3>\n

\"smtp-proxy-mail-from-deny-eigene-domain\"<\/a>Sehr h\u00e4ufig\u00a0versuchen Spam-Versender<\/strong>, den Empf\u00e4ngern E-Mails als vertrauensw\u00fcrdig unterzujubeln, die angeblich von einem Absender aus der eigenen Domain<\/strong> stammen. Oder sogar von der “eigenen” E-Mail-Adresse.<\/strong> Wie kann man sich per SMTP-Proxy wirkungsvoll davor sch\u00fctzen? Wir befinden uns hier ja im professionellen Umfeld und gehen wie eingangs geschildert davon aus, dass wir f\u00fcr unsere E-Mail-Domain einen eigenen Mailserver betreiben, der sich in unserem lokalen Netzwerk befindet und im Internet\u00a0per DNS MX-Record bekannt ist. In einem solchen\u00a0Szenario sitzen\u00a0die E-Mail-Nutzer oftmals entweder alle im lokalen Netzwerk oder erhalten ihre E-Mails \u00fcber gesicherte VPN-Verbindungen oder SSL-verschl\u00fcsselte E-Mail Push-Verfahren wie Microsoft ActiveSync oder Outlook Anywhere auf ihre Smartphones. H\u00e4ufig kommt es gar nicht vor<\/strong>, dass von au\u00dfen (\u00fcber das Internet) legitime E-Mails per SMTP <\/strong>hereinkommen, die aus der eigenen Domain stammen! Seltene Ausnahmen sind z.B. gehostete Webserver, die E-Mails aus Kontaktformularen versenden und dabei einzelne Absende-Adressen z.B. formular@meinefirma.de<\/strong> verwenden. Oder wenn sich tats\u00e4chlich einzelne User per SMTP-Auth \u00fcbers Internet am internen Mailserver anmelden, um dar\u00fcber E-Mails zu versenden. Letzteres w\u00fcrde ich tunlichst so schnell wie m\u00f6glich abstellen. Zu den Formularen kommen wir sp\u00e4ter.<\/p>\n

Um zu verbieten, dass per SMTP von au\u00dfen\u00a0Mails eingehen, die behaupten, aus der eigenen Domain zu stammen, dann kann man das auch explizit auf der WatchGuard einstellen.
\n\"smtp-proxy-mail-from-allow\"<\/a>
\nHierzu bietet sich\u00a0der Unterpunkt Address > Mail From<\/em> in der SMTP Proxy Action an. Dort kann ich mit expliziten Allow und Deny Regeln steuern, von welchen Absende-Domains Mails angenommen werden sollen bzw. eben nicht. Genau hier wird die eigene Domain auf Deny gesetzt! F\u00fcr den oben beschriebenen Fall des E-Mail-Formulars k\u00f6nnte sich anbieten, eine individuelle, kryptische Absendeadresse zu verwenden (Beispiel:\u00a0formular-xyz-123@meinefirma.de<\/strong> statt formular@meinefirma.de<\/strong>), welche von Spammern nicht unbedingt sofort erraten werden kann, denn f\u00fcr diese Adressen muss ja eine “Allow” Ausnahme definiert werden. Ganz wichtig: zus\u00e4tzlich\u00a0muss noch die Wildcard * angelegt, auf Allow gesetzt und ganz ans Ende der Liste gestellt werden, sonst kommen gar keine Mails mehr von au\u00dfen rein. Die korrekte Reihenfolge der Regeln wird \u00fcber Change View<\/strong>\u00a0und die Up \/ Down<\/strong> Schaltfl\u00e4chen eingestellt (vgl. Screenshot).<\/p>\n

Kurze Fu\u00dfnote zu den Web-Formularen und SMTP E-Mails: der versendende Web-\/Mailserver sollte auch im DNS SPF Record Ihrer Domain ber\u00fccksichtigt werden, denn sonst werden k\u00fcnftig immer h\u00e4ufiger solche Mails von den Empf\u00e4ngern nicht mehr angenommen…<\/p>\n

Dieser Artikel wurde erstmals am 24.02.2009 im \u201eTechnischen WatchGuard-Blog von Bernd Och\u201c ver\u00f6ffentlicht. Hierher verschoben und aktualisiert in 2016.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Der Application Proxy f\u00fcr SMTP\u00a0(SMTP-Proxy) steht in allen WatchGuard Firebox XTM Software-Versionen zur Verf\u00fcgung – auch schon in den ganz alten Versionen des WFS v7.x. Heute m\u00f6chte ich auf ein paar Aspekte des Themas “E-Mail-Sicherheit” eingehen, die schon mit den Bordmitteln der WatchGuard Firebox (also ohne die optionalen WatchGuard Security Services) m\u00f6glich sind. Voraussetzung f\u00fcr die nachfolgenden \u00dcberlegungen ist, dass\u00a0Ihre Firma bzw. Organisation ihre\u00a0eingehenden E-Mails … Weiterlesen E-Mail-Sicherheit mit dem WatchGuard SMTP-Proxy<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[57,55,54,56],"class_list":["post-632","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-e-mail","tag-proxy","tag-smtp","tag-spam"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/632"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=632"}],"version-history":[{"count":6,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/632\/revisions"}],"predecessor-version":[{"id":815,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/632\/revisions\/815"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}