CTK Blog Alltag eines Computer und Telekomm Fachhändlers

14Apr/111

Mailserver testen auf Backscatter

Backscatter bezeichnet eine automatische Antwort eines empfangenden E-Mail-Servers an die falsche Absender-Adresse, wenn diese (insbesondere bei Spam, E-Mail-Viren und -Würmern) bei der ankommenden E-Mail gefälscht worden ist.

Der empfangende E-Mail-Server oder eine andere Komponente des Mail-Systems sendet in verschiedenen Fällen eine Unzustellbarkeitsnachricht oder eine andere Rückmeldung an die Absenderadresse:

  • ein installierter Virenscanner findet einen Virus und möchte Sender (und ggf. Empfänger) darüber informieren,
  • der E-Mail-Server ist fehlerhaft konfiguriert und nimmt E-Mail für die gesamte Domain (auch für nicht existierende Empfängeradressen) an,
  • der Empfänger hat eine Abwesenheitsnachricht konfiguriert, welche auch an externe Empfänger geschickt wird,
  • der Empfänger hat eine Weiterleitung auf eine andere Adresse festgelegt, der Zielserver nimmt diese E-Mail-Nachricht aber nicht zur Weiterleitung an,
  • die Mail ist an einen E-Mail-Verteiler (Mailing-Liste) adressiert, in der der vorgebliche Absender keine Schreibberechtigung hat,
  • die Mail ist an eine Adresse gerichtet, die automatische Empfangsbestätigungen erzeugt.

Dies ist bei normalen Mails zur Information des Absenders durchaus sinnvoll. Bei Spam mit gefälschten Absender-Adressen führt dies jedoch dazu, dass die Antwort an den falschen Empfänger gesendet werden. Im schlimmsten Fall lässt sich das für einen DDOS-Angriff ausnutzen, indem viele Mails mit dem selben (gefälschten) Absender verschickt werden.

Falls der annehmende E-Mail-Server die Authentizität des Absenders überprüft (z. B. durch Sender Policy Framework respektive DNSBLs) und diesen als gefälscht erkennt, so wird diese Backscatter-Antwort allerdings nicht gesendet.

Im selben Kontext wird auch der Begriff "Outscatter" benutzt, da die Unzustellbarkeitsnachricht nicht an den eigentlichen Absender der Nachricht geschickt wird, sondern an einen (unbeteiligten) Dritten.

Wie kann ich meinen Mailserver auf Backscatter Testen:
Online Test: http://its-netzwerk.com/bscatter/

Wie kann ich meinen Mailserver so konfigurieren, dass er keine Backscatter verschickt:
Exchange 2003 gegen Backscatter sichern.
Exchange 2007/2010 gegen Backscatter sichern.

[TK]

 

20Aug/100

Exchange 2007 und Exchange 2010 gegen Backscatter sichern

Wenn man Exchange 2010 mit allen Rollen installiert und die Standardeinstellungen nicht ändert, läuft man Gefahr, auf einer Realtime Blacklist (RBL) zu landen. Grund ist die Tatsache, dass der Hub-/Transportdienst von Exchange 2010 ohne zusätzliche Konfiguration keine Antispam-Mechanismen enthält.

Beispielsweise werden E-Mails an nicht existierende Adressen zunächst vom einliefernden Server angenommen, ein Non-Delivery-Report (NDR) wird erst später vom Exchange 2010 Server generiert. Dadurch können sogenannte Backscatter ausgelöst werden, die von einigen RBLs, z.B. UCEProtect, ausgewertet werden und zur Eintragung des Servers in die Blacklist führen können. Ein E-Mail-Server sollte nur E-Mails für existierende E-Mail-Adressen akzeptieren.

Wenn in einer Exchange Organisation kein Edgeserver vorhanden ist, können die Antispamfunktionen auf dem Exchange 2010 System mit installierter Hub-/Transport-Rolle wie folgt per Powershell aktiviert werden:

  • Wechseln ins Verzeichnis Scripts der Exchange-Installation (bei mir c:\Program Files\Microsoft\Exchange Server\V14\Scripts)
  • folgenden Befehl ausführen: ./install-AntispamAgents.ps1

Nach einem Neustart des Dienstes “Microsoft Exchange Transport” stehen dann die Antispamfunktionen zur Verfügung. Unter anderem kann dann die Validierung der Empfängeradressen aktiviert werden, was dazu führt, dass für die autorisierenden akzeptierten Domains nur noch E-Mails für existierende Adressen akzeptiert werden.

Diese Funktion kann über die Exchange Verwaltungskonsole, unter Organisationskonfiguration, Hub- Transport, Antispam aktiviert werden:

 

19Aug/100

Exchange 2003 gegen Backscatter sichern

Einen Exchange 2003 "nackt" per SMTP Port ins Netz hängen ist zwar möglich aber doch sehr gewagt.
Wir selber machen dies nur ab Exchange 2007/2010 da dort vielfältige Mechanismen implentiert sind um den Server relativ Spamfrei zu halten.

Exchange 2003 unterstützt zwar bereits einen Intelligenten Nachrichtenfilter... aber mit der Intelligenz ist das halt hier so eine sache...

Wer unbedingt glaubt einen Exchange 2003 direkt ins Netz zu hängen, sollte unbedingt den Empfang so konfigurieren, dass nur Nachrichten an existente Empfänger akzeptiert werden.
In der Standardkonfiguration nimmt Exchange 2003 alle Nachrichten erstmal ungeprüft an, und checkt erst in der nächsten Instanz ob die E-Mail Adresse überhaupt korrekt ist.

Allerdings kann man dem Exchange 2003 relativ einfach beibringen dass er Nachrichten an nichtexistente Empfänger sofort ablehnt:

Der Transportdienst ist nun unbedingt neu zu starten.