5 Punkte um deinen HMAIL Server abzusichern

Der Betrieb eines eigenen Mailservers hat seinen Reiz - sowohl für kleine und mittlere Firmen wie auhc für Privatpersonen. Jedoch hat man mit der Einrichtung und Konfiguration nicht gerade täglichzu tun, und meist kann man auch nicht den Nachbarn um Rat fragen.

Wer einen eigenen Mailserver betreibt hat auch ein schönes Stück Verantwortung, denn selbiger steht mit einem Bein im Internet, und zahlreiche dubiose Gestalten interessieren sich für die Mailserver anderer Leute.

 

Bei der Konfiguration des Hmailserer sind viele froh wenn sie es geschafft haben ihn wie gewünscht zum laufen zu bringen, und wenden sich dann anderen Aufgaben zu, dabei ist es nicht damit getan das Email funktioniert - es sollte möglichst sicher funktionieren.

 

Aus diesem Grund sehen wir uns heute ein paar Punkte an die dazu beitragen das ihr Mailserver und ihre Mails nicht völlig entblößt unterwegs sind. Zunächst müssen wir uns darüber klar werden wovor wir uns schützen wollen. Dem Mitlesen der Mails unterwegs? Der Sicherheit das nicht jeder Xbeliebige Mails verschicken kann? Von innen, und vor allem auch von außen? Dem Einschleppen von Schadsoftware via Emails?

Die nachfolgenden Punkte sind beispielhaft, und sie sind orientiert an einem bestimmten Einsatzszenario. Wer HMail anders konfiguriert hat oder andere Funktionen nutzt wird andere Lösungen benötigen und leicht abweichende Wege gehen müssen.

 

 

Punkt 1: Konfiguration Anti-Virus & Anti-Spam

- der Grund das wir das machen sollte klar sein. je eher etwas gefangen wird desto besser....

HMAILSERVER Settings/ Antivirus

bietet die Möglichkeit ClamAV oder ClamWin einzubinden. Man kann auch einen anderen externen virus Scanner wählen, allerdings ist das nur shclecht unterstützt seitens der Anbieter. Wer Schwierigkeiten mit der Einbindung hat - vor allem wenn ClamWin als Dienst laufen soll, der sollte im Forum Rat suchen, es gibt dort eine HOWTO zu dem Thema.

 

 

Punkt 2: IP Range Rules

- ganz ganz wichtig, hier legt man fest was mit eurem Hmailserver von wo wie gemacht werden darf.

 

HMAILSERVER Advanced / IP Ranges / XYZ lokal

Hier wird festgelegt was im internen, lokalen Netz erlaubt und erforderlich ist. Dies Betrifft Emails die von einem internen User zum anderen gehen und das lokale Netzt nicht verlassen.

Allow Connections: Zum senden benötigt man SMTP, zum Lesen meist IMAP oder POP3. Was man nicht nutzt - abschalten.

Other: Überprüfen wir internen Verkehr auf Antispam und Antivirus? Nun ja, sollte eigentlich nicht nötig sein, aber es kostet ja nichts - anschalten. Benötigen wir SSL/TLS authentification ? Vorzugsweise ja, allerdings gibt es immer wieder Software und Hardware die gerne Status und Alarmemails versenden und an der Authentifizierung scheitern. Für den internen Verkehr würde ich also zunächst darauf verzichten.

Allow deliveries from: Local-Local und Local Extern ist natürlich erlaubt. Das es im internen Netz Zustellungen External->Local und External->External gibt ist eher bei ungewhönlichen Scenarien der Fall. Typischer Weise erst mal abschalten.

Require SMTP authentification: Local-> Local im Prinzip nicht nötig, aber wenn es sowieso eingerichtet wird dann schadet es auch intern nicht. Local -> External auf jeden Fall erforderlich, unbedingt ! Sonst kann alles was irgendwie Zugang zum Netz bekommt einfach so emails an den Mailserver senden die dieser dann ausliefert, ohne das sich das Programm / der User / der Client irgendwie zu erkennen geben muss.

 

HMAILSERVER Advanced / IP Ranges / Internet

Der Server ist ja auch von außen erreichbar, also müssen im Prinzip die gleichen Punkte auch für die Kontaktaufnahme von außen definiert werden.

Allow Connections: SMTP sicherlich, ob IMAP und POP3 hängt vom Konfigurations- und Nutzungsscenario ab.

Other: Antispam und Antivirus und Authentification aktivieren.

Allow deliveries from: External to External ist sicher nicht in jedem Fall nötig, der Rest ist typischerweise aktiv.

 

 

Punkt 3 sichere Ports

Um ein Mindestmaß an Absicherung zu bekommen sollte man nicht den gesamten Zugang offen lassen und wenigstens mal den Ausweis kontrollieren.

Im vorliegenen Beispiel kommuniziert der HMAIL Server mit dem Provider über ein Relay mit Authentifizierung ( Benutzername/ Passwort ). Ihre individuelle Konfiguration weicht davon womöglich deutlich ab vor allem wenn sie Privatperson sind und via Pop3 vom Provider abholen.

Wir benötigen Port 25 um nach außen mit dem Mailserver des Providers zu kommunizieren. Das ist durch Benutzername / Passwort gesichert, ein Zertifikat gibt es nicht.

Wir benötigen Port 587 mit STARTTLS und einem (selbsterstellten) Zertifikat, auf diesem Port liefern die Clients / User ihre Emails am HMAILServer ein. Das Zertifikat ist im Mailclient hinterlegt, alternativ muss man einmalig eine ausnahmeregel bestätigen.

Wir benötigen Port 993 mit SSL/TLS und einem (selbsterstellten) Zertifikat, darüber läuft die gesicherte IMAP Ordnersynchronisation zwischen Clients und HMAILServer. Die Konfiguration und Zertifikat ist im Mailclient hinterlegt.

Wie die Geschichte mit den Zertifikaten und deren Verteilung läuft - dafür gibt es ebenfalls entsprechende HOWTOs  im Forum vom HMAILServer.

 

Punkt 4 Konfiguration Firewall

Neben Punkt 2 ist das wohl einer der wichtigsten um nicht zur Spamschleuder zu werden. Die individuelle Konfiguration hängt wieder davon ab wie die Mailanbindung zum Provider ausgelegt ist. Im vorliegenden Fall gilt weiterhin Kommunikation über eine Relay, alles über Port 25.

In der Firewall schaffen wir eine Regel für den eingehenden Verkehr ( WAN to LAN ).

Zum einen definieren wir das als Ziel nur der Rechner in Frage kommt auf dem der Mailserver läuft. ( IP eintragen ). Damit verhindern wir das irgendwas am Mailserver vorbeigeschummelt wird.

Zum anderen definieren wir woher etwas kommen darf. Typischerweise wäre der Eintrag "ANY", also jeder Mailserver oder Port Scanner oder Hanswurst kann versuchen auf Port 25 den Hmailserver zu kontaktieren. Wenn der Mailverkahr aber über ein Relay beim Provider geht ist das unrealistisch. Da laufen alle Emails mit der Domainendungzunächst zu ihm, und er alleine liefert sie dann über das Relay an den eigenen Server aus. Leider steht in den Vertragsunterlagen meist nicht drin, welche IPs der Provider dafür verwendet.

Also werfen wir einen Blick in die Logs des HMAILServers. dort finden wir in hmailserver_awstats.log den ganzen Mailverkehr gelistet. Absenderadresse/AbsenderIP/Zieladresse/ZielIP. Für die Mails die den HMAILServer von ausen erreichen sollte ein Muster erkennbar sein. Typischerweise verwenden Provider aus Redundanzgründen mehrere, aufeinanderfolgende IP Adresse über die sie Mails ausliefern. Diese IP / IP Bereich tragen wir als zulässige Quelle in die Firewallregel ein. Damit wird es dem Rest des Internet unmöglich auch nur irgendetwas im heimischen Netz über Port 25 zu erreichen. Es gibt nur den Tunnel Provider- Server.

 

Punkt 5 DKIM Signing / Signatur / Verschlüsselung

Hier ist manchmal der Schaden (später) größer als der Nutzen, auf jeden Fall ist der Aufwand enorm, mit Kosten verbunden, und oft schwierig zu implementieren.

Der einfachste und billigte Schritt ist wohl DKIM Signing, dies kann im Hmailserver zentral für alle einliefernden Clients aktiviert werden.

Das verbessert nicht nur die Spam Einstufung, sondern schütz auch gegen Phising, da es gefälschte Absenderadressen aufdeckt.

Zum Auftakt sollte man sich den Heise Artikel zu Gemüte führen.

 

Zu empfehlen als zweite Stufe - eine Signatur. Unternehmen benötigen dafür ein Class 2 Zertifikat für Unternehmen. Dieses ist dann Unternehmensvalidiert, nicht Personenvalidiert. Und es kostet Geld, mindestens um die 300€.

 

Die dritte Stufe - Verschlüsselung. Man benötigt ebenfalls ein Class 2 Zertifikat, und es ist ein weites Feld mit vielen Fettnäpfchen. Nur für echte Profis.

 

Wer sich so etwas mal ansehen möchte  - echte email - Paketankündigungen von DHL sind mit einer Signatur versehen - unter Thunderbird erkennbar am versiegelten Umschlag - Icon.

 

Kommentar schreiben

Kommentare: 13
  • #1

    Michael (Dienstag, 09 Februar 2016 14:31)

    Hallo,
    kurze Anmerkung: der letzte Punkt ist so nicht korrekt.

    DKIM-Signing ist ähnlich SPF ein Mechanismus, um die eigenen Mails bei anderen Mailservern besser da stehen zu lassen (Greylist-Passing, bessere Bewertung bei SpamAssassin etc.)
    Es wird auf Empfängerseite geprüft, ob der Hashwert im Header der Mails mit dem im DNS hinterlegten Public Key übereinstimmt.

    Dies führt NICHT dazu, dass im Thunderbird (wie hier erklärt) der "verriegelte Umschlag" kommt: hierzu ist die S/MIME- oder PGP (über Enigmail-Plugin) Signierung nötig, die nur im Mailclient erfolgt. hMailServer bietet hier keine "unternehmensweite" Signierung!

    DKIM-Schlüssel können / sollten immer selbst erzeugt werden und haben nichts mit validierten z.B. Class2-Zertifikaten zu tun; diese sind ausschließlich für S/MIME-basierte Signierung und Verschlüsselung gedacht. 2 völlig verschiedene Paar Schuhe.

    So long
    Michael

  • #2

    wrozka (Montag, 28 November 2016 19:58)

    uciekać

  • #3

    Seks linia (Dienstag, 29 November 2016 15:48)

    Wandowo

  • #4

    sex telefon (Dienstag, 29 November 2016 21:11)

    nieprzeświecony

  • #5

    miłosne rytuały (Dienstag, 13 Dezember 2016 21:49)

    protectionist

  • #6

    psychic readings uk (Donnerstag, 29 Dezember 2016 11:14)

    madcap

  • #7

    seks w okolicy (Mittwoch, 30 August 2017 17:12)

    nieroztwartemu

  • #8

    tu (Freitag, 08 September 2017 20:11)

    niezarumieniający

  • #9

    www (Samstag, 09 September 2017 10:35)

    Horney

  • #10

    gej oferty (Mittwoch, 13 September 2017 11:20)

    Wałdowo

  • #11

    wróżka 2,46 (Donnerstag, 14 September 2017 14:44)

    prokainowy

  • #12

    sex telefon (Montag, 02 Oktober 2017 11:24)

    modrzejąc

  • #13

    sekstelefon (Freitag, 20 Oktober 2017 14:43)

    prolamellarny