Nicht jeder Kunde möchte einen Exchange-Server oder eine externe Lösung verwenden.
Für diesen Fall gibt es z.B. kostenfreie Mailserver-Distributionen bei denen man nicht viel konfigurieren muss, z.B. DeepOFix (aus Indien mit möglichen Business-Support) oder der SME-Server. Wenn man nicht viel konfigurieren möchte, dann sind diese beiden eine gute Möglichkeit.
Der DeepOFix-Mailserver hat viele Möglichkeiten auch Sicherheiten einzubauen, z.B. von welcher IP-Adresse Mails gesendet werden dürfen.
Den Server haben wir im internen Netzwerk auf Wunsch unseres Kunden genutzt und die üblichen Sicherungsmöglichkeiten konfiguriert – als virtuelle Maschine auf einem VMWare-Host. Nach der Installation über die Konsole konfiguriert man sämtliche Einstellungen komfortabel über ein Webinterface namens “EasyPush Server Manager”.
Unser Kunde wollte hin- und wieder selbst ein Konto und Änderungen eintragen, weshalb eine Weboberfläche die beste Variante darstellt.
Nach einem Dreivierteljahr ist es dann passiert, dass der Kunde auf mehrere Blacklists gekommen ist, nach Logauswertungen haben wir dann festgestellt, dass Spam-Mails von dem DeepOFix-Mailserver geschickt wurden.
Wir haben dann herausgefunden, dass es möglich ist, über den Port 25 per Telnet über den Standard-Benutzer “admin” als Base64-Verschlüsselung auf jeden DeepOFix-Server zu kommen und Mails zu versenden – wie das geht, warum und wie man die Sicherheitslücke schließt ist hier gut beschrieben: DeepOfix SMTP Server – Authentication Bypass.
telnet ip-adresse 25YWRtaW4=steht für “admin”AA==steht für “null”
Und schon ist man drin.
Alles in allem ist die Distrubition eine günstige und relative flotte Möglichkeit für einen eigenen Mailserver – das genannte Sicherheitsloch muss man aber als Erstes schließen.
Viel Erfolg wünscht Ihnen
Stefan Juhnke