Warum braucht man eine Empfängerprüfung?

Recht häufig kommen in der Newsgroup Anfragen wie “Meine Warteschlange läuft voll”, “Mein Exchange verschickt lauter NDR´s”. Meistens dauert es recht lange bis alle Emails rausgehen und die Warteschlange ist relativ voll.

Der Hintergrund liegt oft in der fehlenden Empfängerprüfung. Die Kommunikation im Internet ist in “Request for Comments”, kurz RFC´s festgelegt. Für SMTP-Verkehr ist das inzwischen schon einige Jahre alte, aber immer noch gültige RFC 2821 relevant. Dort wurde festgelegt, das die Delivery Status Notification, in den meisten Fällen wohl ein “non delivery Report”, kurz NDR vom sendenden Mailserver erstellt wird solange die Kommunikation des Data-Anteils in der Email noch nicht abgeschlossen ist. Dieser endet mit einem einzelnen Punkt auf einer leeren Zeile. Wie man Emailkommunikation auf der Kommandozeile nachstellt hat Frank Carius hier sehr gut beschrieben.

Ist nun in der Exchange – Organisation (ab Version 2003) die Empfängerprüfung deaktiviert prüft Exchange das Vorhandensein der SMTP-Adresse erst mit dem Zustellversuch in das Postfach des Empfängers, also zu einem Zeitpunkt wo die SMTP-Kommunikation bereits beendet ist. In dieser Einstellung werden alle Emails angenommen für die die Exchange-Organisation zuständig ist.  Nun ist Exchange für die Erstellung eines NDR´s zuständig. Der Nachrichtenversender hat, da es sich meistens um Spam handelt auch keine gültige Absenderadresse angegeben oder eine die jemand anderem gehört. Im ersten Fall wird Exchange versuchen die Nachricht loszuwerden und es erst aufgeben wenn die vom Administrator angegebene Zeit (per Default 2 Tage) angegeben ist oder die Nachrichten gelöscht werden. Im 2. Fall, das jemandem die Sendeadresse gehört der nicht der Spammer ist wird man wahrscheinlich einen Anruf des anderen Emailadministrators erhalten warum denn NDR´s verschickt werden wenn man gar nicht der Absender war.

Bei eingeschalteter Empfängerprüfung wird das nicht passieren. Hier wird bereits während der andere Mailserver den Empfänger angibt (“rcpt to:”) geprüft ob die Adresse im Active Directory vorhanden ist. Im negativen Fall muß der sendende Mailserver dann den NDR selbst erstellen, der Exchange gibt einfach die Meldung “550, Recipient unknown” aus.

Betreibt man keinen Edge-Server müssen auf der Hub-Transport-Rolle die Anti-Spam Eigenschaften nachinstalliert werden. Das Skript dazu findet sich im Exchange – Installationsverzeichnis unter “Skripte”.

Neue Bitmap

Im nebenstehenden Bild kann man sehen wie die Empfängerprüfung global aktiviert wird.

Einige besorgte Administratoren werden vielleicht fragen ob es denn jetzt möglich ist mit einem Wörterbuchangriff die gültigen Emailadressen herauszufinden. Im Prinzip lautet die Antwort “ja”, aber Microsoft hat noch eine Verzögerung eingebaut. Bei der Abfrage einer ungültigen Empfängeradresse werden erst nach dem das Tarpit-Intervall abgelaufen ist wieder Antworten zugelassen. Bei Exchange 2007 ist das per Default auf 5 Sekunden eingestellt, bei Exchange 2003 muß es nachträglich konfiguriert werden. 5 Sekunden ist zwar nicht viel, eignet sich aber um Wörterbuchangriffe zu verhindern und einige Tausend Emailadressen pro Minute abzuprüfen.

 

 

Viele Grüße

 

Walter Steinsdorfer

Leave a Reply

Your email address will not be published. Required fields are marked *