next up previous contents index
Nächste Seite: MIME-Extensions Aufwärts: EMail Vorherige Seite: EMail   Inhalt   Index


SMTP-Protokoll

EMail nutzt SMTP als Protokoll, das wiederum über TCP läuft. SMTP-Empfänger nutzen den TCP-Port 25 und SMTP-Sender einen zufälligen Port $>$ 1023. Tabelle 3.3 gibt Filterregeln für das SMTP-Protokoll an, wobei davon ausgegangen wird, daß alles, was nicht explizit erlaubt ist, verboten ist.


Tabelle 3.3: SMTP-Filterregeln, Quelle: [BIF-96] S. 215
\begin{threeparttable}


Die Filterregeln sind so lesen:
Die ersten beiden Regeln sind zum Empfang von Mail notwendig die letzten beiden zum Versenden von Mail.

  1. Regel
    Zulassen von TCP-Verbindungsanfragen (ACK-Bit nicht gesetzt) von externen Maschinen an den Port 25 (SMTP) des internen Servers.
  2. Regel
    Antwortpakete des internen Servers an den externen Server zulassen.
  3. Regel
    TCP-Verbindungsanfragen (ACK-Bit nicht gesetzt) des internen Mailservers an externe Mailserver zulassen.
  4. Regel
    Antwortpakete des externen Mailservers an den internen Mailserver zulassen.

Alles was nicht durch diese Regeln explizit erlaubt ist, ist verboten. Weitere Filterregeln in dieser Arbeit sind analog zu interpretieren.

Da SMTP ein ,,store-and-forward`` Protokoll ist, ist es bestens geeignet um über einen Proxy-Server bereitgestellt zu werden. Mailserver können glücklicherweise selber als Proxy konfiguriert werden, so daß es nicht notwendig ist einen eigenen Mail-Proxy aufzusetzen. In einer Firewallumgebung sollte der gesamte Mailverkehr über den Bastion Host verschickt werden. Um dies zu erreichen muß das Mailsystem entsprechend konfiguriert werden:

  1. Setzen von DNS Mail Exchange (MX) Einträgen auf den Bastion Host
    Durch entsprechende Nameservereinträge wird erreicht, daß Mail nur von bestimmten Rechnern angenommen wird.

  2. Konfiguration des Mailers auf dem Bastion Host
    Der Mailer auf dem Bastion Host ist so zu konfigurieren, daß er die Zieladresse, an die eine Mail gesendet werden soll, überprüft: wenn es eine externe Adresse ist, dann soll die Mail ganz normal ausgeliefert werden, ist es eine interne Adresse, dann soll die Mail an einen internen Mailserver weitergeleitet werden. Dadurch erreicht man, daß auf dem Bastion Host keine internen Mailkonfigurations-Files (z.B. internes Alias-File) vorhanden sind. Ein weiterer Vorteil ergibt sich dadurch, daß SMPT-Verbindungen vom Bastion Host nach innen nur zu dem internen Mailserver zugelassen werden müssen. Damit sind die restlichen internen Maschinen nicht durch SMTP angreifbar, wenn ein Angreifer auf den Bastion Host vorgedrungen ist.

  3. Konfiguration des internen Mailers
    Der interne Mailer ist so zu konfigurieren, daß jede ausgehende Mail an den Bastion Host gesendet wird.

Das Mailsystem sollte ausgehende Mails mit einer zentralen Mailadresse versenden und nicht mit der Adresse eines bestimmten internen Hosts. Eine ausgehende Mailadresse könnte so aussehen:
person@bigcompany.com
statt
person@littlehost.bigcompany.com.
Dadurch wird garantiert, daß Mails durch den Bastion Host auch dann korrekt behandelt werden, wenn es Probleme mit den MX-Records einzelner Maschinen gibt und der Empfänger der Mail erhält konsistente Informationen. [BIF-96]


next up previous contents index
Nächste Seite: MIME-Extensions Aufwärts: EMail Vorherige Seite: EMail   Inhalt   Index
Klaus Bauer 1999-10-20