Logo faq-o-matic.net
Logo faq-o-matic.net

Absichern der Willkommensmeldung ("HELO") in Exchange

von veröffentlicht am8. Januar 2006, 14:54 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Exchange, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Eine der häufigsten Schwachstellen in einem Unternehmensnetzwerk ist immer der Mailserver. Leider ist es durch sein Design so, dass der Exchange Server gerne ausplaudert, wer er ist (das trifft allerdings auch auf andere Produkte zu). Aber man kann diese „Helo“-Meldung verändern und so die Identität des Servers verbergen.

** ACHTUNG – DIESE ANLEITUNG SOLLTEN NUR ERFAHRENE ADMINS BEFOLGEN **
** BITTE UNBEDINGT EINE SICHERUNG ANFERTIGEN **

Diese Anleitung bezieht sich auf Exchange ab Version 2000. Wie man ein Backup der Metabase anfertigt, kann man in der Hilfe der MMC nachlesen. Alle Änderungen, die an der Metabase gemacht werden, passieren auf eigene Gefahr! Ich übernehme keine Garantie.

Man benötigt einen Meta Editor, z.B. MetaEdit 2.2. Diesen kann man unter folgendem Link downloaden:  http://download.microsoft.com/download/iis50/Utility/5.0/NT45/EN-US/MtaEdt22.exe

1. Ändern des SMTP-Banners

Stellt man eine Telnetverbindung zu einem SMTP-Server des Exchange Servers her, dann wird einem folgende Meldung begegnen:

220 hostname.domain.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at Sun, 16 Oct 2005 16:28:43 -0600

Damit bekommt man eine Menge an Informationen, die eigentlich besser verborgen werden sollten. Niemand sollte so einfach erfahren, welche Version des Servers genutzt wird. Sonst werden Angriffsversuche unnötig erleichtert.
Mit dem Metaeditor sucht man folgenden Eintrag:

LmSmtpsvcvirtual server number

Dann Edit – New – String
Der eingetragene Wert in der Box MUSS anders als 36907 (dezimal) sein. In dem Feld Data kann man nun die neue Displaymeldung eintragen, z.B. „***************“. Nun muss abschließend der Virtuelle Server für SMTP neu gestartet werden, damit die Einstellungen überneommen werden. Eine erneute Telnetverbindung zum SMTP Relay des Servers zeigt nun ein völlig anderes Bild:

220 hostname.domain.com **************** ready at Sun, 16 Oct 2005 16:42:45 -0600

Der FQDN wird immer noch angezeigt, dieser ist in den Eigenschaften des SMTP Dienstes eingetragen.

2. Ändern des POP/IMAP-Banners

Stellt man eine Verbindung mit POP3 oder IMAP zu einem Exchange Server her, dann bekommt man eine Bannermeldung, die ungefähr so aussehen könnte:

Microsoft Exchange 2000 POP3 server version 6.0.4417.0 (Mein Server) ready.

Um das Willkommen- und Abmeldebanner zu ändern, führt man folgende Schritte aus.

  1. Den zu ändernden Dienst stoppen (POP3 oder IMAP)
  2. In der Kommandozeile gibt man diesen Befehl ein, um z. B. eine IMAP4-Verbindung zu verändern („<neues Banner>“ beschreibt den neuen Bannertext):
    smtpmd SET -path imap4svc/1 -dtype STRING -prop 49884 -value "<neues Banner>"
    Die folgende Liste zeigt die verschiedenen Werte für Metabase Keys:
    * POP3ConnectionString – 41661
    * POP3DisconnectionString – 41662
    * IMAP4ConnectionString – 49884
    * IMAP4DisconnectionString – 49885
  3. Die Dienste neu starten.

Diese Veränderungen betreffen immer alle virtuellen Server, es ist nicht möglich, unterschiedliche Bannermeldungen zu definieren.

3. Ändern der Standardmeldung, nachdem man sich mit einem Exchange Server 2003 verbindet

Dieser Abschnitt beschreibt, wie man Standardinformationen im SMTP-Protokoll verändert, die angezeigt werden, wenn man sich per TCP mit einem Exchange Server 2003 verbindet. Stellt man eine Telnetverbindung zu einem Exchange 2003 Server her, dann wird einem folgende Standardmeldung  (ähnlich) präsentiert.

220 Computer Name.Domain Name.com Microsoft ESMTP MAIL Service, Version: Version Number ready at Date Time +0000

Diese weicht leicht von der Meldung von  Exchange 2000 ab. Damit man die Bannermeldung abändern kann, führt man bei einem Exchange 2003 ein spezielles Skript aus, welches mitgeliefert wird.

  • Start – Ausführen – CMD
  • In das Adminscriptverzeichnis wechseln (Drive:\Inetpub\Adminscripts)
  • cscript adsutil.vbs set smtpsvc/vsi number/connectresponse "Mein Text"

„Mein Text“ beschreibt die neue Bannermeldung, Vsi number beschreibt die Nummer des virtuellen SMTP-Servers. Danach die SMTP-Dienste neu starten, damit die Einstellungen übernommen werden.

net stop smtpsvc (stoppt den SMTP-Dienst)
net start smtpsvc (startet den SMTP-Dienst)

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!