Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Wer seinen FQDN nicht der ganzen Welt<br />
mitteilen will oder muss, wählt einfach<br />
einen unverfänglichen Namen, der bestimmt<br />
nicht mit anderen Servern oder<br />
Diensten kollidiert.<br />
Example.com<br />
Gut ist, wenn der FQDN auch noch einen<br />
offiziellen Anklang hat wie die Test-Domain<br />
»example.com«. Da der lokale MTA<br />
Postfix ja nur im internen Netz zu sehen<br />
ist, spielt es meist auch keine Rolle, wenn<br />
er den Namen »smtp.example.com« erhält,<br />
zumal ein »dig smtp.example.com«<br />
(Listing 2) keinen Konflikt mit irgendeiner<br />
offiziellen Adresse gleichen Namens<br />
erkennen lässt.<br />
Dass der Name des MTA nicht im DNS<br />
auflösbar ist, bedeutet nach Erfahrung<br />
des Autors nur in selten ein Problem.<br />
MTAs und Spamfilter, die das bemerken,<br />
werden es zwar monieren, bewerten dieses<br />
Manko jedoch nie so stark wie andere<br />
Faktoren. Außerdem wäre ja in der Regel<br />
auch der ursprüngliche FQDN ebenfalls<br />
nicht durch eine DNS-Abfrage des MTA<br />
des ISP auflösbar.<br />
Wer den Mailserver neutral benennen<br />
will, setzt in der »main.cf«-Konfigurationsdatei<br />
»myhostname« auf den Wert<br />
»smtp.example.com«. Nach einem Neustart<br />
und einer Test-E-Mail zeigt Postfix<br />
die veränderten, jetzt deutlich diskreteren<br />
Headerdaten (Listing 3). Doch Zeile<br />
23 zeigt immer noch, dass der User Kmail<br />
verwendet hat, und posaunt im Header<br />
»X‐KMail‐Transport« den internen Namen<br />
des Mailgateways hinaus.<br />
Individuelle Anpassungen bleiben hier<br />
nicht aus, doch die sollte der Admin<br />
nicht auf Client-Seite erledigen müssen,<br />
denn das führt schnell zur ungeliebten<br />
Turnschuhadministration, wobei der Administrator<br />
auf jedem Client den Postausgangsserver<br />
neu eintragen müsste.<br />
Hier hilft es, gleich mehrere der immer<br />
noch übrig gebliebenen Fliegen mit einer<br />
Klappe zu erschlagen und alle unnötigen<br />
und geschwätzigen Header komplett zu<br />
eliminieren.<br />
Posix oder PCRE<br />
Den besten Mechanismus, um Headerdaten<br />
auf das notwendige Maß zu reduzieren,<br />
bietet Postfix selbst: den Eintrag<br />
»header_checks« in der Konfigurationsdatei<br />
»main.cf« und eine passende Tabelle<br />
mit regulären Ausdrücken und entsprechenden<br />
Anweisungen. Die Tabelle ist<br />
folgendermaßen aufgebaut: »/Regulärer_<br />
Ausdruck/Muster Aktion«. Laut der sehr<br />
informativen Manpage zu Header_checks<br />
[2] gibt es dabei zwei mögliche Varianten<br />
regulärer Ausdrücke: Posix oder<br />
PCRE (Perl Compatible Regulary Expressions).<br />
Die Handbuchseite rät zur letzteren,<br />
weil sie in Sachen Performance der<br />
Posix-Variante überlegen sei.<br />
Allerdings fehlt einer Standardinstallation<br />
von Postfix zumindest unter Debian das<br />
Paket »postfix‐pcre«, es lässt sich aber<br />
schnell mit »apt‐get postfix‐pcre« nachinstallieren.<br />
»postconf ‐m« hilft bei der Erfolgskontrolle<br />
und listet alle verfügbaren<br />
Lookup-Table-Typen auf. Ausführliche<br />
Anleitungen zu regulären Ausdrücken<br />
und zu PCRE finden sich in [3].<br />
Listing 4 enthält die (kommentierte) Datei<br />
»/etc/postfix/header_checks« und ist<br />
auf das vorliegende Beispiel abgestimmt.<br />
Ihre Einträge entfernen (über die Aktion<br />
»IGNORE«) alle Header, deren Inhalte in<br />
der freien Wildbahn nichts verloren haben.<br />
Der Eintrag<br />
header_checks=pcre:/etc/postfix/header_U<br />
checks<br />
in der Konfigurationsdatei »main.cf« teilt<br />
Postfix mit, wo er die entsprechenden Informationen<br />
zu suchen hat. Der Befehl<br />
postmap ‐q Suchmuster pcre:/etc/postfix/U<br />
header_checks<br />
macht die Informationen endgültig verfügbar.<br />
Ein nachfolgendes »/etc/init.d/<br />
postfix reload« schließt das Ganze ab.<br />
Header bereinigt<br />
Das Ergebnis von Header_checks zeigt<br />
Listing 5. In solchen Mails bleiben nur<br />
noch die Informationen erhalten, die für<br />
ihren Transport unbedingt nötig sind. Informationen<br />
über den internen Aufbau<br />
des LAN sind weitestgehend eliminiert,<br />
nur die externe Router-IP und dessen<br />
vom Zugangsprovider zugewiesener<br />
Name geben noch Auskunft.<br />
Transportverschlüsselt und mit Ende-zu-<br />
Ende-Verschlüsselung des Inhalts bleiben<br />
so kaum mehr nützliche Informationen<br />
für potenzielle Angreifer übrig. Die