Wie kann ich überprüfen, ob mein SMTP sicher ist?

Angesichts der steigenden Zahl von Ransomware-Angriffen in den 2020er Jahren
– ist E-Mail, unser wichtigster Kommunikationskanal im Internet, noch sicher?

SMTP-Server sind eine besonders sensible Infrastruktur.
Sie können in unserem Namen E-Mail-Nachrichten versenden,
die unsere Empfänger als von vertrauenswürdigen Absendern stammend anerkennen,
da sie vom sendenden Server korrekt authentifiziert werden.

SMTP-Server sind eine besonders sensible Infrastruktur.
Sie versenden in unserem Namen E-Mail-Nachrichten,
die unsere Empfänger als von vertrauenswürdigen Absendern stammend anerkennen,
da sie vom SMTP-Server des Absenders ordnungsgemäß authentifiziert werden.

Was passiert, wenn jemand anderes Ihren SMTP-Server nutzt?
Wie kann ich überprüfen, ob mein SMTP-Server sicher ist?

Die Nutzung sensibler Infrastrukturen im Internet
erfordert ein hohes Maß an Schutz, um Missbrauch zu verhindern.

Kritische Sicherheitswarnung

Wenn Sie versuchen, Nachrichten über smtp.gmail.com
zu versenden, werden Sie blockiert und erhalten folgende „kritische Sicherheitswarnung“:

Weniger sichere App blockiert  
Google hat die App, die Sie nutzen wollten, blockiert, 
da sie unseren Sicherheitsstandards nicht entspricht. [...]

Die einzige Alternative ist die Verwendung von OAuth2, einem Protokoll, bei dem keine Passwortdaten weitergegeben werden
sondern stattdessen Autorisierungstoken zum Identitätsnachweis verwendet werden.

Die am häufigsten verwendeten Mailserver im Internet (Stand: August 2021) sind:
Exim (58 %), Postfix (35 %), Sendmail (4 %)

Um Ihren eigenen Mailserver
weiterhin nutzen zu können und das Risiko eines Hackerangriffs zu verringern, sollten Sie folgende Mindestanforderungen überprüfen:

  1. Es werden nur sichere Authentifizierungs
    akzeptiert. Benutzername und Passwort müssen über sichere Verbindungen übertragen werden,
    in der Regel Port 587+TLS oder Port 25+TLS oder Port 465+SSL
    Die Übertragung sensibler Daten im Klartext ist deaktiviert.

  2. Die „Mail-From“-Adresse (der Absender) muss überprüft werden:
    Nur von Ihnen autorisierte Absender werden zugelassen

  3. Konfigurieren Sie Fail2ban so, dass alle externen Angriffe blockiert werden
    , um Versuche zu verhindern, Ihre Sicherheitsvorkehrungen zu umgehen.
    Insbesondere sollte Fail2ban alle wiederholten Versuche blockieren:

  • sich mit einem falschen Benutzernamen oder Passwort anzumelden
  • um E-Mails mit einem nicht autorisierten Absender zu versenden
  • die SMTP-Verbindung während des Authentifizierungsprozesses zu unterbrechen
    (mehrere unterbrochene Verbindungen führen dazu, dass der SMTP-Dienst für berechtigte Benutzer nicht mehr verfügbar ist)

Die Sperre tritt in der Regel nach drei bis zehn Versuchen ein
und sperrt die Quell-IP für drei bis vierundzwanzig Stunden.

Es ist ganz einfach, diese Punkte zu überprüfen und zu entscheiden, ob
Ihre SMTP-Infrastruktur eine Sicherheitsaktualisierung benötigt.

Fail2ban schützt Ihren Server vor Brute-Force- und DDoS-Angriffen.
Das funktioniert so, als würde ein Fremder an die Tür klopfen,
und nach einer bestimmten Anzahl von Schlägen verschwindet die Tür.

Fail2ban-Logo

Ein Erfahrungsbericht von Hacker News:

Ich betreibe seit mehreren Jahren meinen eigenen Mailserver und ich glaube, viele andere hier 
nutzen Lösungen wie Mail-in-a-box, mailcow, Mailu usw.

Bis zur Corona-Pandemie hatte ich nie größere Probleme mit meinem Mailserver, aber in den letzten Wochen 
hatte ich sehr hohen eingehenden Datenverkehr – das war zu viel für meinen Server und ich musste ihn jedes Mal manuell neu starten ...

[...] Edit: Ich habe meine Fail2ban-Einstellungen geändert und festgestellt, dass ich hauptsächlich Ziel 
von Brute-Force-Angriffen war, gegen die ich mich mit Tools wie Fail2ban schützen können sollte

Fail2ban ist eine Anwendung zur Protokollauswertung, die Systemprotokolle
auf Anzeichen eines automatisierten Angriffs überwacht.

Wenn anhand der definierten Parameter ein Missbrauchsversuch erkannt wird,
fügt Fail2ban der Firewall (iptables oder firewalld) eine neue Regel hinzu
, um die IP-Adresse des Angreifers entweder für einen festgelegten Zeitraum oder dauerhaft zu sperren.
Fail2ban kann Sie zudem per E-Mail darüber informieren, dass ein Angriff stattfindet.

Fail2ban konzentriert sich in erster Linie auf SSH-Angriffe, kann jedoch unter
so konfiguriert werden, dass es für jeden Dienst funktioniert, der Protokolldateien verwendet und potenziell angegriffen werden kann.

Es ist weit verbreitet. Wenn man bei Google danach sucht, findet man leicht
Konfigurationsbeispiele zum Schutz von Mail-Servern.