Open Relay Test
Ich habe gestern und heute ein Seminar über Netzwerksicherheit am Institut für IT im Gesundheitswesen besucht. Dabei ging es auch um Open Relay Tests. Diese sollte alle beschäftigen die einen eigenen Mailserver betreiben. Lässt mein Server das versenden von unerwünschten Spam Mails zu? D.h. können Fremden meinen Server missbrauchen um damit Ihre Spam Mails zu verschicken.
Zunächst benötigt man die Adresse des Mailservers. Dazu frägt man mit dem Tool nslookup nach der MX (Mail Exchange) Adresse. Ich verwende beispielhaft hier die Domain meinedomain.de.
nslookup
set type=mx
meinedomain.de
Der Mailserver antwortet mit:
Server: 192.168.252.2
Address: 192.168.252.2#53
Non-authoritative answer:
meinedomain.de mail exchanger = 10 mx0.meinedomain.net.
meinedomain.de mail exchanger = 10 mx0.meinedomain.de.
Wir wissen also, dass die erste Mail Adresse mx0.meinedomain.net bzw. die zweite mx0.meinedomain.de ist.
Wir können nun eine telnet Verbindung an die MX Adresse richten.
telnet mx0.meinedomain.de smtp
Trying 127.0.0.1...
Connected to mx0.meinedomain.de.
Escape character is '^]'.
220 mx0.meinedomain.de ESMTP Exim 4.63 Tue, 04 Nov 2008 16:45:26 +0100
Der Server Antwortet mit einer 220 Nachricht. Die Verbindung hat also geklappt. Nun müssen wir den Server begrüßen. Dies geschieht mit HELO und einer Domain mit der wir uns ausgeben wollen.
HELO andereDomain.de
250 mx0.meinedomain.de Hello domainadresse.org [82.42.122.110]
Schließlich begrüßt uns auch der Server. Nun können wir eine Email schreiben. Zunächst einmal die Absender Adresse eingeben (beliebig wählbar)
MAIL FROM: spam@spammer.de
250 OK
Soweit so gut. Würde unser Mailserver hier bereits blockieren könnten wir keine Mails empfangen. Ein Open Relay ist der Server dann, wenn er Mails annimmt die nicht an Empfänger gerichtet sind die auf dem Server existieren.
RCPT TO: dummy@gibtsgar.net
550 relay not permitted
Der Server verbietet das Senden an die oben genannte Adresse, da sie nicht auf dem Server existiert. Sollte allerdings diese Nachricht kommen:
RCPT TO: dummy@gibtsgar.net
250 Accepted
deutet das nicht notwendigerweise auf ein Open Relay hin. Manche Mailserver nehmen alle Mails an, senden aber nicht alle Mails weiter. Daher muss überprüft werden ob die Mail tatsächlich versendet wird. Mit DATA wird der Mail Text eingeleitet. Mit Enter . Enter wird die Eingabe beendet.
DATA
354 Enter message, ending with "." on a line by itself
Ich teste auf ein Open Relay. Diese Mail sollte nicht versendet werden.
.
250 OK id=1KxOML-0008WG-IW
Mit quit die Verbindung beenden.
quit
Hat man jetzt eine Email in seinem dummy@gibtsgar.net Postfach vom spammer ist, der Mailserver gefährdet. Das bedeutet, dass jeder Spammer über deinen Server Mails verschicken kann. Dann dauert es nicht lange bis der Mailserver auf einer Blackliste landet. Das hat zur Folge, dass andere Mailserver keine Mails von unserem Mailserver mehr annehmen auch wenn es sich um keinen Spam handelt. Infos wie ihr einen Mailserver einrichtet findet ihr in meinem Mailserver Howto.