SMTP-Anwendungsfilter
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Der ISA Server filtert standardmäßig sämtlichen SMTP-Verkehr, der an Port 25 des ISA Server-Computers eintrifft. Der SMTP-Filter übernimmt den Datenverkehr, untersucht ihn, und leitet ihn nur dann weiter, wenn die Regeln dies zulassen. Der SMTP-Filter kann mit der Nachrichtenüberwachung zusammenarbeiten, um eine intensivere Untersuchung des Inhalts zu gewährleisten. Die Nachrichtenüberwachung muss gesondert installiert und konfiguriert werden, was in diesem Artikel nicht beschrieben wird. Der vorliegende Artikel möchte kurz die einfachste Schutzmöglichkeiten dieses Filters beschreiben.
Der SMTP-Filter überprüft die von Internet-SMTP-Servern und -Clients
gesendeten SMTP-Befehle. Der Filter ist in der Lage, SMTP-Befehle abzufangen und
zu überprüfen, ob sie länger als erlaubt sind. SMTP-Befehle, die größer als die
festgelegten Grenzwerte sind, werden als Angriffe auf den SMTP-Server aufgefasst
und können vom SMTP-Filter abgewehrt werden. Jeder SMTP-Befehl besitzt eine
festgelegte maximale Länge. Diese Länge entspricht der Anzahl Bytes, die für
jeden Befehl zulässig sind. Wenn ein Angreifer einen Befehl sendet, dessen Länge
die Anzahl der für diesen Befehl zulässigen Bytes überschreitet, unterbricht ISA
Server die Verbindung und verhindert so den Datenaustausch zwischen dem
Angreifer und dem Mailserver des Unternehmens. Wenn ein Client einen Befehl
verwendet, der zwar definiert aber deaktiviert ist, beendet der Filter die
Verbindung. Gleiches gilt für einen Befehl, der nicht definiert ist. Im Fall
eines Verstoßes gegen den SMTP-Filter kann ein
Alarmereignis erzeugt werden, worauf vordefinierte Aktionen ausgeführt
werden können.
Der SMTP Filter hat in der Grundeinstellung folgende Registerkarten:
Im Gegensatz zum ISA Server 2000 ist in der aktuellen Version der SMTP Filter nach der Installation aktiviert.
Wenn die Nachrichtenüberwachung konfiguriert wurde, können an dieser Stelle bestimmte Schlüsselworte gefiltert werden:
Unter "Aktion" stehen folgende Möglichkeiten zur Verfügung:
- Nachricht löschen: Die Nachricht wird verworfen
- Nachricht halten: Die Nachricht landet im Badmail-Verzeichnis
- Nachricht weiterleiten an: hier muss eine Adresse eingegeben werden, an die die Nachricht weitergeleitet werden soll
An dieser Stelle können Anlagen blockiert werden:
Unter "Aktion" stehen wieder die drei Möglichkeiten zur Verfügung:
- Nachricht löschen: Die Nachricht wird verworfen
- Nachricht halten: Die Nachricht landet im Badmail-Verzeichnis
- Nachricht weiterleiten an: hier muss eine Adresse eingegeben werden, an die die Nachricht weitergeleitet werden soll
Ich empfehle meistens, geblockte Mails nicht zu löschen sondern an ein speziell überwachtes (und auf Viren geprüftes!) Postfach weiterzuleiten. Somit geht keine Mail verloren, was je nach Einsatzzweck in einem Unternehmen wichtig sein könnte. Es ist immer ein Abwägungsspiel, welche Anlagen gesperrt werden sollen. Einerseits soll möglichst eine hohe Sicherheit erreicht werden, andererseits sollen die Anwender möglichst wenig in ihrer täglichen Arbeit behindert werden.
Folgende Anlagen sind prinzipiell als gefährlich einzustufen:
.acm Windows Systemdatei .msi Windows Installationsdatei .bas Visual Basic Klassenmodul .msp Windows Installationsdatei .bat Batchfile .mst Visual Source Datei .bin Binärdatei .ocx OLE Steuerungsdatei .chm Kompilierte Hilfe-Datei .otm VBA Projekt Datei .cmd Windows Kommandoscript .ov* Programm Overlay Datei .com Ausführbare Datei .pif DOS-Programminformation .cla Java Applet .pl Pearl Script .class Java Applet .reg Registrierungsdatenbankdatei .cpl Systemsteuerungsanwendung .scr Bildschirmschoner .crt Zertifikat .scf Explorer Kommandodatei .drv Gerätetreiber .sct Windows Scriptingkomponente .exe Ausführbare Datei .shb Document Scrap Objekt .fon Schriftart .shs Shell Scrap Objekt .fot Schriftart .sys Systemdatei .dll Dynamische Link Library .tlb Typ Bibliothek .hta HTML Anwendung .url Internetverknüpfung .ini Einstellungsdatei .vb VBScript Datei .inf Installationsdatei .vbe VBScript Encoded Datei .ins Internetkommunikationseinstellungen .vbs VBScript Datei .isp Internetkommunikationseinstellungen .v*d Virtueller Gerätetreiber .js JScript Datei .ws Windows Scriptingdatei .jse JScripe Encoded Datei .wsc Windows Scripting Komponente .lnk Verknüpfung (Shortcut) .wsf Windows Scriptingdatei .mpd Miniport Gerätetreiber .wsh Windows Scripting Einstellungen
In der Registerkarte "SMTP-Befehle" können (und sollten) verschiedene Befehle gesperrt bzw. zugelassen werden, die bei der Kommunikation zwischen Mailservern benötigt werden. Dies ist die einzige Sperrmöglichkeit, die ohne Installation und Konfiguration der Nachrichtenüberwachung zur Verfügung steht und daher genutzt werden sollte. Sämtliche SMTP Befehle, die hier nicht eingetragen sind werden vom ISA Server geblockt, sobald der SMTP Filter aktiviert ist. Dies ist auch der Grund, warum er direkt nach der Installation deaktiviert ist. Neben den zugelassenen Befehlen kann auch die maximale Länge der Befehlsoptionen festgelegt werden, um einen Pufferüberlauf zu verhindern.
Die meisten Befehle benötigen nur eine bestimmte Anzahl an nachfolgenden Optionen, sodass dies keine Operative Einschränkung ist. Z.B. ist für das Kommando "Mail from:" eine Länge von 266 Zeichen vorkonfiguriert. Dies reicht sicherlich aus, um die komplizierteste Absendemailadresse abzubilden, denn welche Mailadresse hat mehr als 266 Zeichen? Möglicherweise hat aber der interne SMTP Server ein Sicherheitsloch, was ausgenutzt werden könnte, wenn man ihm Mailadressen mit 2000 Zeichen übergibt. Um dem vorzubeugen, setzt der ISA Server mit seinem SMTP Filter eine Beschränkung.
Bestehende vorkonfigurierte Befehle können nicht gelöscht werden, sie können nur deaktiviert werden. Es ist problemlos möglich, neue Befehle hinzuzufügen (diese können dann auch wieder gelöscht werden).
Es empfiehlt sich, gefährliche oder nicht-benötigte Befehle prinzipiell zu sperren:
- EXPN: Das EXPN (Expand) Kommando erweitert eine Verteilerliste, sodass der Absender alle in der Verteilerliste enthaltenen Mailadressen herausbekommen kann.
- NOOP: Der NOOP (NO Operation) Befehl ist für den funktionalen Betrieb überflüssig. Er bewegt den Mailserver lediglich dazu, eine OK-Statusmeldung zu liefern. Im übertragenen Sinn ist er mit dem ping-Befehl vergleichbar.
- VRFY: Das VRFY (verify) Kommando wird dazu benutzt um einen Benutzernamen beim Mailserver zu überprüfen.
Hinweis: Wenn ein Client den TURN-Befehl verwendet, werden alle entsprechenden E-Mails vom Filter aussortiert.
Hinweis: Laut RFC ist der AUTH-Befehl Bestandteil des MAIL FROM-Befehls. Aus diesem Grund sperrt der SMTP-Filter MAIL FROM-Befehle nur, wenn sie die zulässige Länge der MAIL FROM- und AUTH-Befehle überschreiten (wenn AUTH aktiviert ist). Wenn Sie zum Beispiel für MAIL FROM eine maximale Länge von 266 Bytes und für AUTH eine Länge von 1024 Bytes festlegen, wird die Nachricht nur gesperrt, wenn der MAIL FROM-Befehl 1290 Bytes übersteigt.
Hinweis: Ich möchte nochmals betonen, dass ohne installierter und konfigurierter Nachrichtenüberwachung lediglich die Registerkarte "Befehle" Wirkung zeigt.
Stand: Friday, 28. August 2009/DR.
