SMTP-Anwendungsfilter
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000
Nach der Installation des ISA Servers im Firewall- oder Integrierten Modus steht unter "Anwendungsfilter" ein deaktivierter SMTP Filter zur Verfügung.
Der folgende Artikel möchte kurz die einfachste Schutzmöglichkeiten dieses Filters beschreiben. Vorweg gesagt: der Filter ist sehr mächtig, jedoch werden für fast alle Funktionen weitere (komplizierte) Konfigurationsschritte (-> Nachrichtenüberwachung [Message Screening]; in der Dokumentation auf der ISA Server CD beschrieben) benötigt. Für diese erweiterten Funktionen wird ein eigener Artikel erscheinen.
Der SMTP Filter hat in der Grundeinstellung folgende Registerkarten:
Wie eingangs erwähnt ist der SMTP Filter standardmäßig deaktiviert. Der Grund darin wird weiter unten bei der Registerkarte "SMTP-Befehle" erklärt. Durch aktivieren des Häkchens und anschließendem Neustart des Firewalldienstes (ein Dialogfeld weist darauf hin) wird der Filter einsatzbereit.
Wenn die Nachrichtenüberwachung konfiguriert wurde, können an dieser Stelle bestimmte Schlüsselworte gefiltert werden:
Unter "Aktion" stehen folgende Möglichkeiten zur Verfügung:
- Nachricht löschen: Die Nachricht wird verworfen
- Nachricht halten: Die Nachricht landet im Badmail-Verzeichnis
- Nachricht weiterleiten an: hier muss eine Adresse eingegeben werden, an die die Nachricht weitergeleitet werden soll
An dieser Stelle können Anlagen blockiert werden:
Unter "Aktion" stehen wieder die drei Möglichkeiten zur Verfügung:
- Nachricht löschen: Die Nachricht wird verworfen
- Nachricht halten: Die Nachricht landet im Badmail-Verzeichnis
- Nachricht weiterleiten an: hier muss eine Adresse eingegeben werden, an die die Nachricht weitergeleitet werden soll
Ich empfehle meistens, geblockte Mails nicht zu löschen sondern an ein speziell überwachtes (und auf Viren geprüftes!) Postfach weiterzuleiten. Somit geht keine Mail verloren, was je nach Einsatzzweck in einem Unternehmen wichtig sein könnte. Es ist immer ein Abwägungsspiel, welche Anlagen gesperrt werden sollen. Einerseits soll möglichst eine hohe Sicherheit erreicht werden, andererseits sollen die Anwender möglichst wenig in ihrer täglichen Arbeit behindert werden.
Folgende Anlagen sind prinzipiell als gefährlich einzustufen:
.acm Windows Systemdatei .msi Windows Installationsdatei .bas Visual Basic Klassenmodul .msp Windows Installationsdatei .bat Batchfile .mst Visual Source Datei .bin Binärdatei .ocx OLE Steuerungsdatei .chm Kompilierte Hilfe-Datei .otm VBA Projekt Datei .cmd Windows Kommandoscript .ov* Programm Overlay Datei .com Ausführbare Datei .pif DOS-Programminformation .cla Java Applet .pl Pearl Script .class Java Applet .reg Registrierungsdatenbankdatei .cpl Systemsteuerungsanwendung .scr Bildschirmschoner .crt Zertifikat .scf Explorer Kommandodatei .drv Gerätetreiber .sct Windows Scriptingkomponente .exe Ausführbare Datei .shb Document Scrap Objekt .fon Schriftart .shs Shell Scrap Objekt .fot Schriftart .sys Systemdatei .dll Dynamische Link Library .tlb Typ Bibliothek .hta HTML Anwendung .url Internetverknüpfung .ini Einstellungsdatei .vb VBScript Datei .inf Installationsdatei .vbe VBScript Encoded Datei .ins Internetkommunikationseinstellungen .vbs VBScript Datei .isp Internetkommunikationseinstellungen .v*d Virtueller Gerätetreiber .js JScript Datei .ws Windows Scriptingdatei .jse JScripe Encoded Datei .wsc Windows Scripting Komponente .lnk Verknüpfung (Shortcut) .wsf Windows Scriptingdatei .mpd Miniport Gerätetreiber .wsh Windows Scripting Einstellungen
In der Registerkarte "SMTP-Befehle" können (und sollten) verschiedene Befehle gesperrt bzw. zugelassen werden, die bei der Kommunikation zwischen Mailservern benötigt werden. Dies ist die einzige Sperrmöglichkeit, die ohne Installation und Konfiguration der Nachrichtenüberwachung zur Verfügung steht und daher genutzt werden sollte. Sämtliche SMTP Befehle, die hier nicht eingetragen sind werden vom ISA Server geblockt, sobald der SMTP Filter aktiviert ist. Dies ist auch der Grund, warum er direkt nach der Installation deaktiviert ist. Neben den zugelassenen Befehlen kann auch die maximale Länge der Befehlsoptionen festgelegt werden, um einen Pufferüberlauf zu verhindern.
Die meisten Befehle benötigen nur eine bestimmte Anzahl an nachfolgenden Optionen, sodass dies keine Operative Einschränkung ist. Z.B. ist für das Kommando "Mail from:" eine Länge von 266 Zeichen vorkonfiguriert. Dies reicht sicherlich aus, um die komplizierteste Absendemailadresse abzubilden, denn welche Mailadresse hat mehr als 266 Zeichen? Möglicherweise hat aber der interne SMTP Server ein Sicherheitsloch, was ausgenutzt werden könnte, wenn man ihm Mailadressen mit 2000 Zeichen übergibt. Um dem vorzubeugen setzt der ISA Server mit seinem SMTP Filter eine Beschränkung.
Bestehende vorkonfigurierte Befehle können nicht gelöscht werden, sie können nur deaktiviert werden. Es ist problemlos möglich, neue Befehle hinzuzufügen (diese können dann auch wieder gelöscht werden).
Es empfiehlt sich, gefährliche oder nicht-benötigte Befehle prinzipiell zu sperren:
- EXPN: Das EXPN (Expand) Kommando erweitert eine Verteilerliste, sodass der Absender alle in der Verteilerliste enthaltenen Mailadressen herausbekommen kann.
- TURN: Der TURN Befehl wird verwendet um die Rolle des Client und Server zu verändern. Dies wird überwiegend dazu benutzt, um Unternehmen(steile) Mails gesammelt von einem Smarthost oder Mailrelay abzuholen statt sie wie gewöhnlich zugestellt zu bekommen.
- NOOP: Der NOOP (NO Operation) Befehl ist für den funktionalen Betrieb überflüssig. Er bewegt den Mailserver lediglich dazu, eine OK-Statusmeldung zu liefern. Im übertragenen Sinn ist er mit dem ping-Befehl vergleichbar.
- VRFY: Das VRFY (verify) Kommando wird dazu benutzt um einen Benutzernamen beim Mailserver zu überprüfen.
Stand: Friday, 28. August 2009/DR.
