Hetzner - DokuWiki

Mailserver Relaytest

Inhaltsverzeichnis

Mailserver: Was ist ein offenes Relay?

Als offenes Relay wird ein Mailserver bezeichnet, der Mails weiterleitet, obwohl weder Absender noch Empfänger von ihm selbst gehostet werden.

Beispiel: Der Mailserver "mail.grossefirma.de" soll Mails für die Domäne "grossefirma.de" verarbeiten.

Erlaubt sollten sein:

  • Mails an z.B. "info@grossefirma.de"
  • Mails von z.B. "info@grossefirma.de"

aber nicht:

  • Mails von "kaufmich@werbefritze-xyz.de" an "user@irgendwo-anders.de"
  • Mails mit gefälschten Absenderadressen aus der Domain "grossefirma.de", die über diesen Server verschickt werden

Diese falsch konfigurierten Mailserver werden meist nach wenigen Minuten Onlinezeit automatisiert gefunden und dann von Spammern für den Versand ihrer Massenmails verwendet.

Abgesehen von der Belästigung der Empfänger dieser Werbebotschaften können für den Betreiber des offenen Relays extreme Kosten durch den generierten Traffic entstehen. Zudem wird das offene Relay schnell in sogenannten Blacklists eingetragen, was dazu führt, dass normale Mails von diesem Server ebenfalls bei vielen Empfängern nicht mehr akzeptiert werden.

Wie kann ich bei meinem Mailserver ein offenes Relay verhindern?

Bei eigentlich jeder Mailserversoftware sind Regelmechanismen vorhanden, die ein unautorisiertes Versenden von Mails verhindern können.

Grundsätzlich:

  • Mailversand ohne Authentifizierung wenn überhaupt nur von firmeninternen IP-Adressen zulassen
  • Authentifizierungstechniken wie SMTP-Auth (zur Not auch POP-before-SMTP) beim Versand von Mails erzwingen
  • Annahme von Mails ohne Authentifizierung nur für eigene Domains erlauben

Beispiel für Postfix

Mit diesen Konfigurationseinträgen wird Postfix nur noch per SMTP-Auth geprüften Clients den Mailversand gestatten.

#### SMTP AUTH verwenden
smtpd_sasl_auth_enable = yes
pwcheck_method = saslauthd
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
# nur fuer Outlook Clients
broken_sasl_auth_clients = yes
#### END SMTP AUTH enable

Dank an stephanw aus dem Forum.

Manueller Relaytest per Telnet

telnet mail.meinedomain.de 25

Sie sollten erhalten

220 cygnus.mail-abuse.org ESMTP Postfix

Nun ein "HELO domain.tld" und dann MAIL FROM, RCPT TO, ...

Z.B.:

--> HELO xyz.xx
<-- 250 cygnus.mail-abuse.org
--> MAIL FROM: xx@xyz.xx
<-- 250 Ok
--> RCPT TO:<xx@xyz.xx>(Hier gueltige E-Mailadresse eintragen.)
<-- 554 <xx@xyz.xx>: Relay access denied

Linksammlungen

Relaytests per Webbrowser

http://www.mailradar.com/openrelay/

Testet mit verschiedenen Standardmethoden, ob der Server ein offenes Relay ist.

Blacklistcheck

http://www.dnsstuff.com/ (dort: "Spam database lookup")

Hier werden sehr viele DNS Blacklists abgefragt, man erhält eine gute Übersicht, ob der eigene oder ein anderer Mailserver irgendwo gelistet ist.



© 2016. Hetzner Online GmbH. Alle Rechte vorbehalten.