Nächste Seite: MIME-Extensions
Aufwärts: EMail
Vorherige Seite: EMail
  Inhalt
  Index
SMTP-Protokoll
EMail nutzt SMTP als Protokoll, das wiederum über TCP läuft. SMTP-Empfänger
nutzen den TCP-Port 25 und SMTP-Sender einen zufälligen Port
1023.
Tabelle 3.3 gibt Filterregeln für das SMTP-Protokoll an,
wobei davon ausgegangen wird, daß alles, was nicht explizit erlaubt ist,
verboten ist.
Tabelle 3.3:
SMTP-Filterregeln, Quelle: [BIF-96] S. 215
|
Die Filterregeln sind so lesen:
Die ersten beiden Regeln sind zum Empfang von Mail notwendig die letzten beiden zum
Versenden von Mail.
- Regel
Zulassen von TCP-Verbindungsanfragen (ACK-Bit nicht gesetzt) von externen Maschinen an den
Port 25 (SMTP) des internen Servers.
- Regel
Antwortpakete des internen Servers an den externen Server zulassen.
- Regel
TCP-Verbindungsanfragen (ACK-Bit nicht gesetzt) des internen Mailservers an externe Mailserver zulassen.
- Regel
Antwortpakete des externen Mailservers an den internen Mailserver zulassen.
Alles was nicht durch diese Regeln explizit erlaubt ist, ist verboten. Weitere Filterregeln in dieser Arbeit sind
analog zu interpretieren.
Da SMTP ein ,,store-and-forward`` Protokoll ist, ist es bestens geeignet um über einen Proxy-Server
bereitgestellt zu werden. Mailserver können glücklicherweise selber als Proxy konfiguriert werden, so
daß es nicht notwendig ist einen eigenen Mail-Proxy aufzusetzen. In einer Firewallumgebung sollte
der gesamte Mailverkehr über den Bastion Host verschickt werden. Um dies zu erreichen muß das Mailsystem
entsprechend konfiguriert werden:
- Setzen von DNS Mail Exchange (MX) Einträgen auf den Bastion Host
Durch entsprechende Nameservereinträge wird erreicht, daß Mail nur von
bestimmten Rechnern angenommen wird.
- Konfiguration des Mailers auf dem Bastion Host
Der Mailer auf dem Bastion Host ist so zu konfigurieren, daß er die Zieladresse, an die eine Mail
gesendet werden soll, überprüft: wenn es eine externe Adresse ist, dann soll die Mail ganz normal
ausgeliefert werden, ist es eine interne Adresse, dann soll die Mail an einen internen Mailserver
weitergeleitet werden. Dadurch erreicht man, daß auf dem Bastion Host keine internen Mailkonfigurations-Files
(z.B. internes Alias-File) vorhanden sind. Ein weiterer Vorteil ergibt sich dadurch, daß SMPT-Verbindungen
vom Bastion Host nach innen nur zu dem internen Mailserver zugelassen werden müssen. Damit sind die
restlichen internen Maschinen nicht durch SMTP angreifbar, wenn ein Angreifer auf den Bastion Host
vorgedrungen ist.
- Konfiguration des internen Mailers
Der interne Mailer ist so zu konfigurieren, daß jede ausgehende Mail an den Bastion Host
gesendet wird.
Das Mailsystem sollte ausgehende Mails mit einer zentralen Mailadresse versenden und nicht
mit der Adresse eines bestimmten internen Hosts. Eine ausgehende Mailadresse könnte so
aussehen:
person@bigcompany.com
statt
person@littlehost.bigcompany.com.
Dadurch wird garantiert, daß Mails durch den Bastion Host auch dann korrekt behandelt werden,
wenn es Probleme mit den MX-Records einzelner Maschinen gibt und der Empfänger der Mail
erhält konsistente Informationen. [BIF-96]
Nächste Seite: MIME-Extensions
Aufwärts: EMail
Vorherige Seite: EMail
  Inhalt
  Index
Klaus Bauer
1999-10-20