[Outlook] Mails ohne Logindaten versendbar

Alphawolf

New Member
Hallo,

folgende Situation: auf unserem server sind z.b. zwei webs angelegt musterfrau.de und mustermann.de
dazu jeweils ein postfach [email protected] und [email protected]
mailservereinstellungen: SMTP

wenn wir jetzt im outlook z.b. ein emailpostfach anlegen:
[email protected]
kontoname: 1234
passwort: kein passwort eingegeben
pop3/smtp server: musterfrau.de
server erfordert authentifizierung ist nicht aktiviert

und dann eine email an [email protected] senden, kommt diese email in dem postfach an, obwohl dass nicht sein darf weil es die kontendaten, welche in outlook eingetragen wurden, gar nicht gibt.
wenn wir die email nach außerhalb vom server senden, also nicht zu einem angelegten web auf dem server, dann wird diese email auch nicht gesendet.

Jemand einen Denkanstoß? :(

Grüße
 
Bitte etwas mehr Informationen. Hier kann keiner hellsehen :D

Welcher MTA/Mailserver wird eingesetzt?
Wo steht der Server? Im Lan oder bei einem Provider?
Was sprechen die Logfiles?
 
Der Server muss doch Emails an seine eigene Domain auch ohne Authentifizierung annehmen. Wie soll sonst ein Fremder ein Email an den Server schicken? Einfach mal eine andere Domain als Empfänger ausprobieren.

Stimmt. Man sollte nicht immer komplizierter denken als nötig ;-)
 
Hallo,

Bitte etwas mehr Informationen. Hier kann keiner hellsehen :D

Welcher MTA/Mailserver wird eingesetzt?
Wo steht der Server? Im Lan oder bei einem Provider?
Was sprechen die Logfiles?
Sorry.

Eckdaten: Qmail, Root-Server bei HE. Wonach soll ich in den Logfiles schauen? In dem Sinne tritt ja kein Fehler auf, denn die E-Mail wird angenommen und verschickt. Der "Fehler" ist halt, dass es das nicht geben dürfte.

Der Server muss doch Emails an seine eigene Domain auch ohne Authentifizierung annehmen. Wie soll sonst ein Fremder ein Email an den Server schicken? Einfach mal eine andere Domain als Empfänger ausprobieren.

lg
Paul
Naja, dadurch ergibt sich aber ein dickes Problem. Jeder kann von einem beliebigen Absender Mails an Kunden/Vhosts auf dem Server verschicken.

Bsp: Auf dem Server liegt mustermann.de. Ich erstelle in Outlook also ein Konto namens "Hacker", trage als SMTP- und POP3-Server (das auf dem Server existente) mustermann.de ein (obwohl ich keine E-Mailzugangsdaten zu dieser Domain habe), und gebe als Absender-E-Mail-Adresse die (nicht existente) Adresse [email protected] ein. Als Benutzername gebe ich "???" an, Passwort lasse ich leer. Häkchen bei "SMTP erfordert Authentifizierung" lasse ich ungecheckt.

Verschickt wird es bspw. an [email protected]. Die Mail geht raus. Und das ohne Zugangsdaten. :eek: Microsoft erhält also eine E-Mail von [email protected], obwohl ich nicht mal für mustermann.de arbeite oder dergleichen.

Das selbe kann ich für jede auf dem Server angelegte Domain machen. Ich könnte also auch, ohne spezifische Zugangsdaten zu kennen eine E-Mail als [email protected] an [email protected] schicken. Ohne Zugangsdaten beider E-Mail-Adressen zu kennen.

Das ist doch nicht normal. :confused:
 
Last edited by a moderator:
Naja, dadurch ergibt sich aber ein dickes Problem. Jeder kann von einem beliebigen Absender Mails an Kunden/Vhosts auf dem Server verschicken.

Tja, so funktioniert das System Emailserver nunmal ;-)
Dazu brauchst du nichtmal einen Email-Client mit zug. Konto. Das ist das, was 100.000te von Spammern Tag ein, Tag aus praktizieren.

Wenn du jedoch ohne Authentifizierung an Domains, welche nicht im Zuständigkeitsbereich deines Servers liegen, senden kannst, dann würde ich mir schnellstens ein paar Gedanken über die korrekte Konfiguration deines Servers machen.
 
Tja, so funktioniert das System Emailserver nunmal ;-)
Dazu brauchst du nichtmal einen Email-Client mit zug. Konto. Das ist das, was 100.000te von Spammern Tag ein, Tag aus praktizieren.

Wenn du jedoch ohne Authentifizierung an Domains, welche nicht im Zuständigkeitsbereich deines Servers liegen, senden kannst, dann würde ich mir schnellstens ein paar Gedanken über die korrekte Konfiguration deines Servers machen.
Auf dem Server eines Bekannten funktioniert dies so aber nicht. Sobald er das so macht wie ich, meldet sich Outlook und sagt, dass es die Mail nicht versenden kann. Was ja korrekt ist, das ja keine Zugangsdaten zum angegebenen SMTP-Server angegeben wurden.

Ich meine, dass man in PHP-Scripten E-Mails auch ohne Auth versenden kann, ist mir klar, aber wozu gibt es in Outlook ein Loginname- und Passwort-Feld, wenn ich darüber offenbar auch völlig anonym schreiben kann?

Wenn du jedoch ohne Authentifizierung an Domains, welche nicht im Zuständigkeitsbereich deines Servers liegen, senden kannst, dann würde ich mir schnellstens ein paar Gedanken über die korrekte Konfiguration deines Servers machen.
Nein, das habe ich schon getestet. :)
 
Hallo!
Du machst einen Denkfehler:
Bsp: Auf dem Server liegt mustermann.de. Ich erstelle in Outlook also ein Konto namens "Hacker", trage als SMTP- und POP3-Server (das auf dem Server existente) mustermann.de ein (obwohl ich keine E-Mailzugangsdaten zu dieser Domain habe), und gebe als Absender-E-Mail-Adresse die (nicht existente) Adresse [email protected] ein. Als Benutzername gebe ich "???" an, Passwort lasse ich leer. Häkchen bei "SMTP erfordert Authentifizierung" lasse ich ungecheckt.

Hast du genau diese Konstellation mal getestet? Das Ganze funktioniert nur, wenn der Empfänger auch mustermann.de ist. Also die Domain, für die dein Server zuständig ist. Ein Mailversand an externe Domains (@microsoft.com) sollte erst funktionieren, nachdem SMTP AUTH erfolgreich überwunden wurde.

mfG
Thorsten
 
Back
Top