Bundesamt für Sicherheit in der Informationstechnik

M 5.116 Integration eines E-Mailservers in ein Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Bei der Frage der Integration eines E-Mailservers in ein Sicherheitsgateway werden zwei Szenarien betrachtet: Im ersten Fall geht es nur darum, den Dienst E-Mail für ein einzelnes vertrauenswürdiges Netz zur Verfügung zu stellen, im zweiten Fall soll E-Mail für mehrere vertrauenswürdige Netze bereitgestellt werden.

Bei beiden Szenarien werden interne E-Mailserver in den vertrauenswürdigen Netzen betrieben. Ein E-Mailserver innerhalb des vertrauenswürdigen Netzes wird zur Verwaltung der Alias-Datenbank, mit der die Benutzeradressen auf ein einheitliches Format umgesetzt werden können, gegebenenfalls für einen POP- oder IMAP-Daemon oder auch als Gateway zum Übergang in ein anderes Mailsystem (z. B. X.400) eingesetzt. Alle internen Mails werden an diesen Server geschickt und von dort gegebenenfalls über einen externen Mailserver nach außen weitergeleitet.

Die Nutzung eines internen Mailservers ist aus verschiedenen Gründen empfehlenswert:

  • E-Mails zwischen Rechnern innerhalb der vertrauenswürdigen Netze verlassen diese Netze nicht, da sie von den jeweiligen internen Mailservern verarbeitet werden.
  • Wird der interne Mailserver gleichzeitig als Groupware-Server eingesetzt, so könnte dies zu einer unnötig hohen Belastung des ALG führen.
  • Ein Groupware-Server ist auf diese Weise besser vor Angriffen von außen geschützt, da er weiter vom nicht-vertrauenswürdigen Netz entfernt ist.

Es wird allerdings empfohlen, die Mail- bzw. Groupware-Server im internen Netz zusätzlich zumindest durch Paketfilterregeln auch vor unberechtigtem Zugriff aus dem internen Netz geschützt werden. Dies entspricht der Aufstellung des Servers in einer eigenen DMZ des inneren Paketfilters. Bei besonderen Sicherheitsanforderungen im internen Netz sollte dies unbedingt geschehen.

Im Unterschied zum Webserver, bei dem eine Aufstellung "möglichst weit außen" im Sicherheitsgateway empfohlen wird, stellt die hier empfohlene Anordnung für E-Mailserver eine Aufstellung "möglichst weit innen" dar. Der Grund dafür ist, dass auf diese Weise auch bei Ausfall der Internetanbindung immer noch interne E-Mails geschickt werden können.

Anbindung eines einzelnen vertrauenswürdigen Netzes

Soll nur für ein einzelnes vertrauenswürdiges Netz ein Mailserver eingesetzt werden, so genügt der interne Mailserver alleine. Der ALG agiert in diesem Fall als "Smart Host" für den internen Mailserver.

Ein Smart Host ist ein Rechner, über den alle E-Mails eines Netzes geleitet werden. Wenn der ALG als Smart Host für den internen Mailserver konfiguriert ist, so braucht der interne Mailserver für abgehende E-Mails nicht zu ermitteln, welches der Mailserver der Empfänger-Domain ist, sondern er leitet die E-Mails einfach an den Smart Host weiter, der die Aufgabe übernimmt, den richtigen Empfänger-Mailserver zu ermitteln. Dies kann ebenfalls wieder ein Smart Host (beispielsweise beim Internet-Dienstleister) sein; wenn der ALG als Smart Host für das interne Netz eingesetzt wird, so wird dies normalerweise der Fall sein. Smart Hosts werden auch gelegentlich als Mail-Relays bezeichnet.

Für eintreffende E-Mails agiert der ALG entweder als Mail Exchanger, der alle eingehenden E-Mails von den Absender-Mailservern entgegennimmt und an den internen Mailserver weiterleitet, oder als Smart Host für einen externen Mail-Exchanger.

Anbindung mehrerer vertrauenswürdiger Netze

Wenn ein Sicherheitsgateway für mehrere vertrauenswürdige Netze gemeinsam eingesetzt wird, etwa als gemeinsamer Internet-Zugang für mehrere Standorte einer Organisation, so ist der oben beschriebene einfache Aufbau oft nicht mehr machbar.

Versand und Empfang von E-Mails sollten bei diesem Szenario zweistufig erfolgen: Nach wie vor sollten in den vertrauenswürdigen Netzen eigene Mailserver eingesetzt werden, über die interne E-Mails direkt verschickt werden können. Zusätzlich ist es sinnvoll, einen zentralen Mailserver in der DMZ einzusetzen, der als zentraler Mail Exchanger für die vertrauenswürdigen Netze agiert und über den externe E-Mails abgewickelt werden. Je nach Produkt kann ein solcher E-Mailserver in der DMZ bereits in das ALG integriert sein.

Die folgende Abbildung zeigt einen solchen Aufbau mit zwei vertrauenswürdigen Netzen mit jeweils einem internen Mailserver, die mit einem nicht-vertrauenswürdigen Netz (beispielsweise dem Internet) verbunden sind. Die beiden internen Mailserver sind zuständig für unterschiedliche (Sub-) Domains, d. h. der Mailserver in der DMZ entscheidet, zu welchem internen Mailserver eintreffende E-Mails weitergeleitet werden.

Eingehende externe E-Mails passieren die MTAs wie folgt:

  1. MTA im nicht-vertrauenswürdigen Netz (beim Absender oder beim Internet-Dienstleister)
  2. MTA in der DMZ. Dieser trifft die Entscheidung, in welches der beiden vertrauenswürdigen Netze (bzw. an welchen MTA) die E-Mail weitergeleitet werden muss.
  3. Mailserver im jeweiligen vertrauenswürdigen Netz

Ausgehende E-Mails passieren die MTAs in der umgekehrten Reihenfolge.

E-Mailserver bei einfachen Sicherheitsgateways

Wird nur ein einfaches Sicherheitsgateway bestehend aus einem Paketfilter eingesetzt, so wird empfohlen, den E-Mailserver in einer DMZ des Paketfilters anzusiedeln. Wegen des fehlenden ALGs ist der Schutz des Mailservers vor einer Kompromittierung von außen dabei geringer. Die Aufstellung in der DMZ bietet im Ausgleich einen etwas höheren Schutz des internen Netzes bei einer Kompromittierung des Mailservers, als wenn der Server direkt im internen Netz angesiedelt würde.

Soll auch bei einem Ausfall der externen (Internet-) Anbindung das Verschicken interner E-Mails noch gewährleistet sein, so kann der E-Mail-Server in das interne Netz verlegt werden und zusätzlich ein Mailserver (MTA) in einer DMZ des Paketfilters angesiedelt werden, der als externer Mail-Exchanger agiert. Diese Lösung stellt eine gewissermaßen eine Mischung aus den oben beschriebenen komplexeren Lösungen dar.

Prüffragen:

  • Wird der E-Mail-Server mindestens durch einen Paketfilter vor unberechtigten Zugriffen aus dem internen Netz geschützt?

  • Wird der Versand von E-Mails an externe Adressen über ein gesondertes Mail Relay geführt?

  • Entsprechen die Kommunikationsverbindungen (externe wie auch interne) gegenüber dem E-Mail-Server den Sicherheitsvorgaben der Organisation?

Stand: 13. EL Stand 2013