SMTP-Anwendungsfilter
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2006
ISA Server ist eine Firewall, die nicht nur auf Paketebene filtern kann sondern auch auf Anwendungsebene. Das heißt, ISA kann anhand des Inhalts der Pakete filtern. Dazu wurde das Konzept von Anwendungsfiltern entwickelt. Ein solcher Anwendungsfilter ist der SMTP-Filter.
Der ISA Server filtert standardmäßig sämtlichen SMTP-Verkehr, der an Port 25 des ISA Server-Computers eintrifft. Der SMTP-Filter übernimmt den Datenverkehr, untersucht ihn, und leitet ihn nur dann weiter, wenn die Regeln dies zulassen. Im Gegensatz zu den beiden Vorgängerversionen wurde die Funktionalität des SMTP-Filters bei ISA Server 2006 eingeschränkt. Dies liegt unter anderem daran, dass heute andere Ansprüche gestellt werden und aber auch ganz andere Techniken zur Mailfilterung zur Verfügung stehen, als das bislang der Fall war. Da die Produkte/Technologien inzwischen so umfangreich sind, gehören sie sicherlich nicht mehr zu den Kernaufgaben einer Firewall. Insbesondere durch die neuen Möglichkeiten des Mailschutzes mit Exchange Server 2007 und Forefront Security für Exchange Server reicht es aus, wenn ISA Server nur noch rudimentäre Funktionen anbietet.
Der vorliegende Artikel möchte kurz die einfachste Schutzmöglichkeiten dieses Filters beschreiben.
Der SMTP-Filter überprüft die von Internet-SMTP-Servern und -Clients
gesendeten SMTP-Befehle. Der Filter ist in der Lage, SMTP-Befehle abzufangen und
zu überprüfen, ob sie länger als erlaubt sind. SMTP-Befehle, die größer als die
festgelegten Grenzwerte sind, werden als Angriffe auf den SMTP-Server aufgefasst
und können vom SMTP-Filter abgewehrt werden. Jeder SMTP-Befehl besitzt eine
festgelegte maximale Länge. Diese Länge entspricht der Anzahl Bytes, die für
jeden Befehl zulässig sind. Wenn ein Angreifer einen Befehl sendet, dessen Länge
die Anzahl der für diesen Befehl zulässigen Bytes überschreitet, unterbricht ISA
Server die Verbindung und verhindert so den Datenaustausch zwischen dem
Angreifer und dem Mailserver des Unternehmens. Wenn ein Client einen Befehl
verwendet, der zwar definiert aber deaktiviert ist, beendet der Filter die
Verbindung. Gleiches gilt für einen Befehl, der nicht definiert ist. Im Fall
eines Verstoßes gegen den SMTP-Filter kann ein
Alarmereignis erzeugt werden, worauf vordefinierte Aktionen ausgeführt
werden können.
Der SMTP Filter hat folgende beiden Registerkarten:
Die erste Registerkarte "Allgemein" zeigt nur die Versionsinformation an und bietet die Möglichkeit, den Filter zu aktivieren oder abzuschalten. Standardmäßig ist der Filter aktiviert.
In der Registerkarte "SMTP-Befehle" können (und sollten) verschiedene Befehle gesperrt bzw. zugelassen werden, die bei der Kommunikation zwischen Mailservern benötigt werden. Sämtliche SMTP Befehle, die hier nicht eingetragen sind werden vom ISA Server geblockt, sobald der SMTP Filter aktiviert ist. Neben den zugelassenen Befehlen kann auch die maximale Länge der Befehlsoptionen festgelegt werden, um einen Pufferüberlauf zu verhindern. Sofern Sie in Ihrer Umgebung SMTP-Befehle benötigen, die hier nicht aufgeführt sind, können diese jederzeit hinzugefügt werden.
Die meisten Befehle benötigen nur eine bestimmte Anzahl an nachfolgenden Optionen, sodass dies keine Operative Einschränkung ist. Z.B. ist für das Kommando "Mail from:" eine Länge von 266 Zeichen vorkonfiguriert. Dies reicht sicherlich aus, um selbst komplexe bzw. lange Absendemailadresse abzubilden, denn welche Mailadresse hat mehr als 266 Zeichen? Möglicherweise hat aber der interne SMTP Server ein Sicherheitsloch, was ausgenutzt werden könnte, wenn man ihm Mailadressen mit 2000 Zeichen übergibt. Um dem vorzubeugen, setzt der ISA Server mit seinem SMTP Filter eine Beschränkung.
Bestehende vorkonfigurierte Befehle können nicht gelöscht werden, sie können nur deaktiviert werden. Es ist problemlos möglich, neue Befehle hinzuzufügen (diese können dann auch wieder gelöscht werden).
Es empfiehlt sich, gefährliche oder nicht-benötigte Befehle prinzipiell zu sperren:
- EXPN: Das EXPN (Expand) Kommando erweitert eine Verteilerliste, sodass der Absender alle in der Verteilerliste enthaltenen Mailadressen herausbekommen kann.
- NOOP: Der NOOP (NO Operation) Befehl ist für den funktionalen Betrieb überflüssig. Er bewegt den Mailserver lediglich dazu, eine OK-Statusmeldung zu liefern. Im übertragenen Sinn ist er mit dem ping-Befehl vergleichbar.
- VRFY: Das VRFY (verify) Kommando wird dazu benutzt um einen Benutzernamen beim Mailserver zu überprüfen.
Hinweis: Wenn ein Client den TURN-Befehl verwendet, werden alle entsprechenden E-Mails vom Filter aussortiert.
Hinweis: Laut RFC ist der AUTH-Befehl Bestandteil des MAIL FROM-Befehls. Aus diesem Grund sperrt der SMTP-Filter MAIL FROM-Befehle nur, wenn sie die zulässige Länge der MAIL FROM- und AUTH-Befehle überschreiten (wenn AUTH aktiviert ist). Wenn Sie zum Beispiel für MAIL FROM eine maximale Länge von 266 Bytes und für AUTH eine Länge von 1024 Bytes festlegen, wird die Nachricht nur gesperrt, wenn der MAIL FROM-Befehl 1290 Bytes übersteigt.
So sieht der SMTP-Filter aus, wenn einzelne SMTP-Befehle gesperrt sind:
Der absendende Client/Server bekommt bei einem Verstoß gegen die Filterregeln die Fehlermeldung:
421 5.5.1 Invalid command
ISA Server kann je nach Konfiguration ein solches Ereignis auch protokollieren. Standardmäßig wird dies jedoch nicht geschehen.
Sie müssen dazu in der Alarmkonfiguration das Alarmereignis "SMTP-Filter Ereignis" aktivieren und entsprechend einrichten. Über das genaue Vorgehen wird ein eigener Artikel auf dieser Website erscheinen oder Sie können es in unserem Buch nachlesen. Sie können zum Beispiel die Protokollierung des Ereignisses in das Windows Ereignisprotokoll festlegen. Dann erscheit eine solche Meldung:
Ereignistyp: Fehler
Ereignisquelle: SmtpEvt
Ereigniskategorie: Keine
Ereigniskennung: 20032
Datum: 07.01.2007
Zeit: 15:30:34
Benutzer: Nicht zutreffend
Computer: ISA2006
Beschreibung:
An unsafe SMTP command was used.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 56 52 46 59 VRFY
Stand: Friday, 28. August 2009/DR.
