Hetzner - DokuWiki

Mailserver Relaytest

Inhaltsverzeichnis

Mailserver: Was ist ein offenes Relay?

Als offenes Relay wird ein Mailserver bezeichnet, der Mails weiterleitet, obwohl weder Absender noch Empfänger von ihm selbst gehostet werden.

Beispiel:
Der Mailserver "mail.grossefirma.de" soll Mails für die Domäne "grossefirma.de" verarbeiten.

Erlaubt sollten sein:

  • Mails an z.B. "info@grossefirma.de"
  • Mails von z.B. "info@grossefirma.de"


aber nicht:

  • Mails von "kaufmich@werbefritze-xyz.de" an "user@irgendwo-anders.de"
  • Mails mit gefälschten Absenderadressen aus der Domain "grossefirma.de", die über diesen Server verschickt werden


Diese falsch konfigurierten Mailserver werden meist nach wenigen Minuten Onlinezeit automatisiert gefunden und dann von Spammern für den Versand ihrer Massenmails verwendet.

Abgesehen von der Belästigung der Empfänger dieser Werbebotschaften können für den Betreiber des offenen Relays extreme Kosten durch den generierten Traffic entstehen. Zudem wird das offene Relay schnell in sogenannten Blacklists eingetragen, was dazu führt, dass normale Mails von diesem Server ebenfalls bei vielen Empfängern nicht mehr akzeptiert werden.

Wie kann ich bei meinem Mailserver ein offenes Relay verhindern?

Bei eigentlich jeder Mailserversoftware sind Regelmechanismen vorhanden, die ein unautorisiertes Versenden von Mails verhindern können.

Grundsätzlich:

  • Mailversand ohne Authentifizierung wenn überhaupt nur von firmeninternen IP-Adressen zulassen
  • Authentifizierungstechniken wie SMTP-Auth (zur Not auch POP-before-SMTP) beim Versand von Mails erzwingen
  • Annahme von Mails ohne Authentifizierung nur für eigene Domains erlauben


Beispiel für Postfix: (Dank an stephanw aus dem Forum)

  #### SMTP AUTH verwenden
  smtpd_sasl_auth_enable = yes
  pwcheck_method = saslauthd
  smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
  # nur fuer Outlook Clients
  broken_sasl_auth_clients = yes
  #### END SMTP AUTH enable

Mit diesen Konfigurationseinträgen wird Postfix nur noch per SMTP-Auth geprüften Clients den Mailversand gestatten.

manueller Relaytest per Telnet

telnet mail.meinedomain.de 25


Sie sollten erhalten 

220 cygnus.mail-abuse.org ESMTP Postfix

Nun ein "HELO domain.tld" und dann MAIL FROM, RCPT TO, ...

Z.B.: 

--> HELO xyz.xx
<-- 250 cygnus.mail-abuse.org
--> MAIL FROM: xx@xyz.xx
<-- 250 Ok
--> RCPT TO:<xx@xyz.xx>(Hier gueltige E-Mailadresse eintragen.)
<-- 554 <xx@xyz.xx>: Relay access denied

Linksammlungen

Relaytests per Webbrowser

http://www.abuse.net/relay.html
Dieser Test hat den Nachteil, dass er innerhalb einer bestimmten Zeitspanne immer nur ein mal gestartet werden kann. Aber man kann entfernte Server damit sehr einfach testen.

http://ordb.org/submit/
Dauert zwar einige Tage, scheint aber sehr gründlich vorzugehen.

Blacklistcheck

http://www.dnsstuff.com/ (dort: "Spam database lookup")
Hier werden sehr viele DNS Blacklists abgefragt, man erhält eine gute Übersicht, ob der eigene oder ein anderer Mailserver irgendwo gelistet ist.

Von „http://wiki.hetzner.de/index.php/Mailserver_Relaytest


© 2012. Hetzner Online AG. Alle Rechte vorbehalten.