Hallo Andreas, At 10.03.2003, Andreas Metzler wrote: > On Mon, Mar 10, 2003 at 01:10:38PM +0100, Andreas Tille wrote: > > in unserem Institut gibt es vorrangig Windows-NT Clients, die über einen > > Exchange-Server ihre Mails verschicken. Jemand möchte jetzt eine neue > > Sicherheitspolicy einführen, bei der SMTP-Mails nicht mehr nach außen > > relayed werden, sprich, ich könnte mit meinen Linux-Clients nicht mehr > > nach außen posten. Der Grund ist, daß das relayen von SMTP nach außen > > ein Sicherheitsrisiko darstellen soll. > > > Nun ist mir davon nichts bekannt, aber das hilft mir nichts bei der > > Argumentation. Ich kenne mich nun mit Mail-Protokollen nicht detailiert > > aus, sondern weiß nur, daß ich meinem Exim sagen muß, daß der SmartHost > > besagter Exchange-Server ist - dann geht alles. > [...] > > Das heisst du musst einen Smarthost verwenden und kannst nicht mehr > direkt zustellen? > > Einige dieser gefuerchteten Windows Wuermer/Viren Gemische (a la > W32/Klez.h@MM) beinhalten einem eigenen kleinem SMTP-Server und > verbreiten sich so weiter. Wenn man das nicht erlaubt, kann der Virus > nicht raus. telnet firmenproxy 3128 CONNECT MXdesEmpfaengers:25 HTTP/1.0 Wieso geht das nicht? Spaetestens wenn auch https ueber den Fiormenproxy erlaubt ist, kann man ohnehin nicht mehr kontrollieren, was von innen nach aussen geht. Notfalls betreibe ich im Internet meinen Smarthost auf TCP 443. Diese sinnlose Portsperrerei und blinder Aktionismus, der hier an den Tag gelegt wird, schafft vor Allem eines: Ein truegerisches Gefuehl von Sicherheit. Die Bombe platzt dann eben noch ueberraschender. Guido -- nach uns der synflood.
Attachment:
pgpLSF6zpLKj9.pgp
Description: PGP signature