{"id":1234,"date":"2023-08-05T20:43:21","date_gmt":"2023-08-05T18:43:21","guid":{"rendered":"https:\/\/www.krombusch.de\/?p=1234"},"modified":"2023-08-05T20:46:57","modified_gmt":"2023-08-05T18:46:57","slug":"sophos-utm-exchange-und-recipient-verification","status":"publish","type":"post","link":"https:\/\/www.krombusch.de\/?p=1234","title":{"rendered":"Sophos UTM, Exchange und Recipient Verification"},"content":{"rendered":"
\n
Altbekanntes Problem: Ein Mailserver nimmt Mails an unbekannte Empf\u00e4nger seiner Organisation erstmal an, um kurz danach einen NDR an den (vermeintlichen) Absender zur\u00fcckzuschicken. Der einliefernde Spammer ist da aber schon wieder weg ist. Die Unzustellbarkeitsnachricht geht also an eine ohnehin gef\u00e4lschte Absenderadresse.<\/div>\n
<\/div>\n
So ein Mailserver-Verhalten l\u00e4sst sich einfach verhindern, wenn bereits im SMTP-Dialog nach Bekanntgabe des \u201eRCPT TO:\u201c die Konversation bei ung\u00fcltigem Empf\u00e4nger abgebrochen wird. Das kann auch Exchange seit Ewigkeiten. Aber seit der Version 2013 nimmt es Mails von externen Systemen \u00fcber die Frontend-Transportrolle an. Leider hat diese die unangenehme Eigenschaft, auch bei korrekt eingestellten Antispam-; Content-; Recpient-Verification-Filtern den SMTP-Dialog erst nach dem DATA<\/strong> mit einem 5-er-Fehlecode abzulehnen.<\/div>\n
Das w\u00e4re technisch eigentlich nicht schlimm, denn der einliefernde Client ist zu dem Zeitpunkt ja noch da. Es sei denn\u2026der einliefernde Client ist die vorgelagerte Sophos (als Beispiel f\u00fcr einen Proxy).<\/div>\n
Mailproxys werden im Zusammenhang mit Exchange schon seit Jahrzehnten eingesetzt, lange bevor Exchange selbst das Spam- und Virenscannen lernte. Ist auch heute noch die bessere Wahl. Im Falle des SMTP-Dialogs verwenden Proxys ein \u201eCallout\u201c, indem sie das RCPT TO an den eigentlichen Postfachserver durchreichen (\u201eRecipient Verfification\u201c).<\/div>\n
Leider liefert die Frontend-Rolle immer ein fr\u00f6hliches 2xx und nicht direkt schon 5xxx . Insofern geht die Mail des Clients erstmal fr\u00f6hlich durch die Sophos Spam- und Virenscan-Maschienerie und danach in seine Queue. Doch – oh Wunder – der Exchange will die E-Mails gar nicht haben, weil er den Empf\u00e4nger immer noch nicht kennt. Na gut, dann zur\u00fcck mit der Nachricht zum Spammer, der aber schon \u00fcber alle Berge ist. Insofern erzeugt die Sophos einen Bounce an den vermeintlichen Absender, so wie er\/sie eben im Header steht…<\/div>\n
Das Verhalten kann man \u00e4ndern, indem man die Sophos direkt an die Hubtransportrolle durchstellen l\u00e4sst. Da sich in der Sophos der anzusprechende Port f\u00fcrs Callout (ist meiner Kenntnis nach immer nach Standard die 25) nicht \u00e4ndern l\u00e4sst, muss man zun\u00e4chst diesen Port f\u00fcr den Frontend-Transport vom Exchange wegnehmen und einen neuen Hubtransport auf Port 25 erzeugen. Als Bereich w\u00fcrde ich f\u00fcr das geschilderte Szenario als Remotenetzwerke auch nur die Sophos und den Exchange selbst eintragen (der schickt sich f\u00fcr seine Health-Test selbst gerne Mails).<\/div>\n<\/div>\n
<\/div>\n
\"\"<\/a><\/div>\n
\"\"<\/a><\/div>\n
\n
Nach der Umstellung und dem obligatorischen Restart des Exchange-Transport-Agent-Dienstes (nicht des ganzen Windows-Servers!) ist das SMTP-Verhalten des Exchange wie fr\u00fcher. Und Sie werden deutlich weniger Spamtraffic haben.<\/div>\n
Achtung: Im Sophos werkelt als MTA ein Exim. Dessen Callout-Mechanismus speichert Abfragen bis zu 24 Stunden zwischen. Wo genau, wei\u00df ich nicht. Also nicht wundern, wenn sich das gew\u00fcnschte Verhalten bei einigen ung\u00fcltigen Empf\u00e4ngern nicht sofort zeigt.<\/div>\n<\/div>\n

 <\/p>\n

\"\"<\/a><\/p>\n

vorher – nachher.<\/p>\n

Ob der Exchange dadurch jetzt unsicherer wird … naja, wenn Frontend- und Hubtransport so wie in den meisten F\u00e4llen auf „dem (einen) Exchange-Server“ laufen. Es sollte in jeden Fall einen guten Proxy vorgeschaltet werden!<\/p>\n","protected":false},"excerpt":{"rendered":"

Altbekanntes Problem: Ein Mailserver nimmt Mails an unbekannte Empf\u00e4nger seiner Organisation erstmal an, um kurz danach einen NDR an den […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1234","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/1234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1234"}],"version-history":[{"count":3,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/1234\/revisions"}],"predecessor-version":[{"id":1240,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=\/wp\/v2\/posts\/1234\/revisions\/1240"}],"wp:attachment":[{"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.krombusch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}