Windows SMTP-Server sicher?!

[studi2000]

Guten Morgen,
ich betreibe einen Windwos 2019-Server auf dem ich einen internen SMTP-Mailserver eingerichtet habe.
Ich nutze diesen hauptsächlich dazu, um interne Benachrichtigungen vom Server (Ereignisse, etc.) zugestellt zu bekommen.
Dieser funktioniert ja über Port 25.
Jetzt habe ich gelesen, dass man solch einen "ungesicherten" SMTP-Server über Port 25 nicht laufen lassen sollte.
Gibt es hier eine sicherere Alternative? Könnte ich nicht hier auch einen Office 365 SMTP einrichten mit den entsprechenden Zugangsdaten?


Grüße und Dank
studi

 

[Thunderbyte]

Open mail relay - Wikipedia

en.wikipedia.org

Ein nicht mit Benutzernamen und Password abgesicherter, von außen zugänglicher (ist der SMTP Server von außen in der Firewall freigegeben?) und ohne Anmeldung benutzbarer SMTP Server ist eine Spamschleuder und wird auf allen Blacklists dieser Welt landen. Zudem kann der Serverbetreiber (Du) dafür zur Verantwortung gezogen werden, was damit passiert.

Ergo NEIN, man sollte AUF KEINEN FALL einen ""ungesicherten" SMTP-Server über Port 25" laufen lassen.

Natürlich gibt es tausend Alternativen dazu.

 

[studi2000]

Danke für deine Infos. Ja, deshalb möchte ich ja davon weg.
Was wäre denn die "einfachste" Alternative? Geht das auch mit Windows Server 2019 Boardmitteln?

 

[Thunderbyte]

Wieso willst Du Dir überhaupt Mails zu Serverereignissen schicken lassen? Das ist doch völlig uneffizient / unpraktisch.

Einen Windows Server kann man über RDP verwalten und sich die Logs vor Ort ansehen. Ggfalls kann man https://www.paessler.com/de/prtg für manche Aspekte verwenden.

Über https://zerotier.com/ abgesichert (und natürlich nicht übers Internet Interface freigegeben) kannst Du Dir auch die https://de.wikipedia.org/wiki/Microsoft_Management_Console in Deinen Windows 10/11 Rechner einhängen.

https://grafana.com/grafana/dashboards/11515 wäre auch noch eine Option.

Wenn Du einen Windows Server mit RDP im Internet betreiben willst, solltest Du imho unbedingt https://github.com/DigitalRuby/IPBan (kostenfrei) oder die noch bessere Variante davon https://ipban.com/ zum Blocken von Brute Force Attacken installieren.

 

[studi2000]

Eigentlich würde es mir reichen, wenn ich automatisch Mails oder Benachrichtigungen im internen Netz bekommen würde.
Würde das gehen ohne nach außen zu kommunizieren mit dem SMTP Port 25?

 

[danton]

Da du von einem internen Netz redest: Steht dein Server im internen Heim- oder Firmennetz hinter einem Router und ist vom Internet aus nicht erreichbar? Oder reden wir von einem Server, der bei einem Hoster angemietet wurde, also mit einer öffentlichen IP im Internet erreichbar ist? Ansonsten kann man den SMTP-Server, den WIndows Server 2019 mitbringt, auch konfigurieren, dass nur bestimmte IPs oder Benutzer diesen SMTP-Server zum Versand nutzen können. Die Default-Konfiguration ist allerdings nicht wirklich brauchbar, da muss man auf jedem Fall Hand anlegen.

 

[studi2000]

Hallo danton,
wir reden hier von internen Server die hinter einem Router/Firewall (Sophos XG135) stehen.
Ich hatte sonst immer einen stinknormalen SMTP-Server eingerichtet, aber ohne spezielle Einstellungen, also unsicher.
Es war dann immer so, dass der auf einem internen Server (192.168.80.5) lief und ich dann allen Geräten im Netzwerk, die eMailbenachrichtungen verschicken sollten, immer diesen Server als SMTP Server eingetragen haben.
Es wäre schön, wenn ich das beibehalten kann, halt nur in sicher ;-)
Hättest du da eine Idee?

 

[Thunderbyte]

Ist das Dein Heimnetz oder ein Firmennetz? Wenns das Heimnetz ist, würde es vielleicht grade noch so gehen.

Die meisten vernünftigen Geräte und Services, die Statusmails verschicken, können auch mit einem SMTP Server mit Authentifizerung umgehen. Ganz einfach weil sie das im Normalfall müssen. Wieso brauchts da ergo überhaupt einen lokalen SMTP Server und Du nimmst nicht einfach Deinen (oder irgendeinen) Mailprovider?

Bei so verschickten Mails an "externe" Mailserver wird die Mail übrigens mit hoher Wahrscheinlichkeit als Spam eingestuft werden, da so ziemlich alle Anzeichen dafür sprechen: kommt aus ner Dialup IP Range, kein passender MX Record, kein passender PTR Record, keine Antispameinträge (DKIM, etc.). Wenn Du eine richtige Mailkonfiguration (mit SMTP Server) verwendest, passen alle diese Dinge.

 

[studi2000]

Ok, das einzige Gerät, was halt nicht damit klar kommt, ist das Management-System Openmanage Server Administration Tool meines Servers (PowerEdge R440). Das kann leider nur unverschlüsselt SMTP
Und ich würde gerne eine Benachrichtigung bekommen, wenn mein Server nach einem Update einen Neustart benötigt.
Da weiß ich leider auch nicht, wie ich das sonst realisieren könnte?!

 

[danton]

Wenn es ein interner Mailserver ist, der nicht aus dem Internet erreichbar ist, dann ist ja schon mal ein gewisser Schutz vorhanden - sofern du nicht den externen Port 25 auf deiner Sophos auf Port 25 deines SMTP-Servers weitergeleitet hast. Der Microsoft SMTP Server ist erst einmal nicht sicherer oder unsicherer als andere. Entscheidend ist die Konfiguration. Mail-Relay nur von bestimmten IPs erlauben oder über Login mit Username/Passwort kann der MS SMTP-Server auch. Für deine Zwecke wird es vermutlich ausreichen, deinem SMTP-Server eine restriktivere Konfiguration zu verpassen und gut ist.

 

[Thunderbyte]

Das Tool nicht verwenden, denn sowas ist doch Klump. Oder ein (10 Jahre alter) Workaround: https://www.tachytelic.net/2011/09/dell-poweredge-email-alerts/?linkId=143598678 ?

 

[studi2000]

Hallo danton,
hast du evtl. eine Seite für mich, wo ich mich einlesen kann, wie genau ich den MS SMTP-Server safe mache?

 

[danton]

Ich fand die GUI eigentlich recht selbsterklärend. Welche Restriktionen du umsetzen willst, musst du dir selber überlegen.