Der Application Proxy für SMTP steht in allen WatchGuard Firebox Software-Versionen zur Verfügung - in der normalen Fireware, in der Fireware Pro und auch in den älteren Versionen des WFS v7.x. Heute möchte ich auf ein paar Aspekte des Themas "E-Mail-Sicherheit" eingehen, die schon mit den Bordmitteln der WatchGuard Firebox möglich sind:
1. Einschränkung der erlaubten (Ziel-)E-Mail-Domains
Spam-Versender versuchen häufig, schlecht abgesicherte Mailserver im Internet für Massenversendungen zu missbrauchen. Sie suchen so genannte "Open Mail Relays". Das sind Mailserver, die erst einmal ALLE E-Mails annehmen - egal an welche Empfänger-Adresse sie gerichtet sind - und sich dann im nächsten Schritt um die korrekte Zustellung kümmern. Stellen Sie sich vor: IHR hauseigener Mailserver bekommt eine E-Mail zugeschickt, die an die Adresse blabla@blabla-domain.de gerichtet ist. Nun, diese Adresse kennt er nicht, weil Ihre eigene Domain eben anders heißt :-) Wenn Ihr Mailserver schlecht konfiguriert ist, nimmt er die E-Mail an und versucht dann unter "eigenem Namen" (!) die E-Mail an die tatsächliche Empfänger-Domain "blabla-domain.de" zuzustellen. Damit tritt jedoch IHR Mailserver als Spam-Versender in Erscheinung - nicht mehr der eigentliche Spam-Absender. Die Folge wird sein, dass IHR Mailserver auf einer Blacklist von Anti-Spam-Organisationen auftauchen wird. Viele andere Mailserver WELTWEIT werden dann künftig auch LEGITIME E-Mails von Ihnen ABLEHNEN oder im schlimmsten Fall ungesehen verwerfen werden!
Die beste Gegenmaßnahme ist natürlich: Sorgen Sie dafür, dass Ihr Mailserver korrekt konfiguriert ist - also nur E-Mails an genau die Domain(s) annimmt, für die er auch zuständig ist! Alternativ (oder besser: ergänzend dazu) können Sie auch den SMTP-Proxy der WatchGuard Firebox einsetzen. In den Properties gibt es das Untermenü "Address" und dort "Rcpt To". Dort steht standardmäßig ein Stern * als allgemeine Wildcard für Allow. Wenn Sie den Stern durch Wildcards mit den Domain-Namen ersetzen, für die Ihr Mailserver die Mails annehmen soll - Beispiel: *meinefirma.de, *meinefirma.com - wird die WatchGuard Firebox auch nur noch derartige E-Mails zu Ihrem Mailserver durchlassen - ein wirksames Gegenmittel gegen ungewollten Missbrauch als Open Mail Relay.
(Fortsetzung folgt...)Labels: Application Proxy, E-Mail Sicherheit, Fireware, Fireware Pro, Konfiguration, Policy Manager, SMTP, X Core, X Peak
