Mailserver voor de gek houden

[babyme]

Hi iedereen!

Ik blijf maar posten (sorry daarvoor). Maar ik heb weer een soort van bug ontdekt, waar ik nogal van schrik eerlijk gezegd. Je kunt Mailserver gemakkelijk voor de gek houden. Als je subdomeinen hebt, maar ook als je geen subdomeinen hebt ingesteld in MailServer, dan gebeurt het volgende wat niet heel erg goed is.

Stel, ik wil in outlook een mailaccount instellen die ik op de nas heb lopen. Je vult alles netjes in, met gebruikersnaam 'test', mailadres 'test@test.nl' en het wachtwoord wat bij dat account hoort, en het werkt. Nu komt het. Stel, je hebt meerdere gebruikers op de nas die ook kunnen mailen en kunnen ontvangen, dan kun je dus ook test2@test.nl gebruiken met als gebruikersnaam 'test' en het wachtwoord wat daarbij hoort. Je veranderd alleen het mailadres in outlook. Dit werkt ook! In principe kun je dus een soort van relayen. Andersom werkt dit dus ook. Als iemand kwaad wil doen, en dus spam wilt verzenden via jouw mailadres, dan hoeft diegene alleen maar het mailadres te wijzigen, zijn of haar gebruikersnaam en wachtwoord in te vullen en vervolgens kan diegene via jouw mailadres spam verzenden of erger met diegene zijn eigen account. Je hoeft dus nog niet eens het wachtwoord te hacken, maar je hoeft alleen het mailadres te wijzigen in de setup van outlook ofzo. Je kunt dus zeer gemakkelijk de mailserver voor de gek houden... 

Heeft iemand hier een oplossing voor? Dit is namelijk een zeer vervelend lek, wat grote gevolgen kan hebben als er meerdere mensen op de nas zitten die kwaad willen doen. Synology gaat denk ik 2 mailtjes krijgen van mij, haha.

[Briolet]

Dat soort dingen kan ook bij Ziggo. Je hebt daar één hoofdaccount, maar ook andere gebruikers kunnen onder dat hoofdaccount mail versturen. (Andersom heb ik nooit geprobeerd).

In MailServer kun je dit blokkeren:



Maar ik vind dat beperkend omdat ik dan zelf ook niet meer als info@mijndomein.nl kan verzenden. Of ik moet een apart account oor een gebruiker 'info' aanmaken.

[babyme]

Hoi Briolet,

Bedankt voor je reactie! Sorry voor mijn late reactie. Ik heet nu babyme op het forum, haha. 

Eigenlijk vind ik het geen fijn gevoel dat je de Mailserver voor de gek kunt houden. Zeker als je meerdere domeinen hebt, is dit een hele grote bug (vind ik) en erg gevaarlijk. Maar is het echt zo dat Ziggo klanten elkaars mailadres kunnen gebruiken met hun eigen gebruikersnaam en wachtwoord? Dat wist ik namelijk niet. 

Synology zou eigenlijk de Mailserver package zo moeten maken, dat je handmatig een mailadres, gebruikersnaam en wachtwoord moet aanmaken voor elke gebruiker in de mailserver package zelf, en dat de mailserver niet de referenties overneemt van DSM. Daarnaast zou het ook wel erg fijn zijn als er een functie komt waarmee je kunt beheren vanaf welk emailadres welke gebruiker kan mailen, en niet met elk mailadres/domein, maar met diegene zijn eigen mailadres/domein. Ik weet ook niet of MailPlus Server die functies heeft, anders vind ik dat het overwegen wel waard.

[Ds211]

daarom heb je ook een spf record in je dns om spoofing tegen te gaan 

meer info hier

[babyme]

Ds211, jij ook bedankt voor je reactie. 
Maar hoe moet ik dat dan instellen? Ik heb SPF ingesteld, maar ik heb alleen geen flauw benul hoe ik dat met subdomeinen moet instellen. In MijnHostnet heb ik spf records aangemaakt voor 1 domein. De andere domeinen liggen bij strato. Sorry dat ik je dit vraag, maar ben nog niet zó ver dat ik dat allemaal snap haha. 

[Briolet]

Maar is het echt zo dat Ziggo klanten elkaars mailadres kunnen gebruiken met hun eigen gebruikersnaam en wachtwoord?

Sterker: Bij de opzet van e-mail is er nooit een protocol ingebouwd die afzenders controleert. Je kunt dus elke afzender gebruiken, bij bijna elke provider. Ik kan ook gewoon mail sturen als "briolet@nl.abnamro.com". Dat dit kan is gewoon een fout in de hele opzet van e-mail. De bedenkers leefden in een sprookjeswereld waarin iedereen eerlijk is.

Er zijn nu wel reparaties toegevoegd. b.v. het boven genoemde spf, maar dat werkt niet als je een andere gebruiker bij je eigen provider spoofed. 
Bovendien zijn er nog veel providers die weinig met spf doen. b.v. Ziggo gebruikt het hooguit in de berekening van de spamscore. Echt blokkeren bij een foutief spf doen Ziggo en veel andere isp's niet.

[Ds211]

En daarom heb ik alles in eigen beheer

@babyme
Gewoon dezelfde SP record gebruiken bij strato
Weet alleen niet of je spf record ook echt goed is want ook daar kan je ook het eea in finetunen

[Briolet]

@babyme : Voor elk subdomein dat je voor mail gebruikt moet je een eigen spf record aanmaken. Je kunt zelfs spf records aanmaken voor de subdomeinen die niet voor mail gebruikt worden en dan expliciet in het spf record aangeven dat dit domein geen mail mag versturen.

Je kunt b.v. via een wildcard aangeven dat geen enkel subdomein mail mag versturen. Hostnet laat echter niet toe dat je een TXT en een CNAME record aanmaakt voor hetzelfde (Sub)-domein. Bij sommige andere dns servers, zoals die van Synology, kan dat wel.

[babyme]

Wow! Dit wist ik helemaal niet dat je elk e-mailadres kunt spoofen! Je kan dus ook spoofen als je een Microsoft Mailserver hebt? 

Ik dacht eerlijk gezegd, dat dit gewoon een bug in de Synology MailServer was, maar schijnbaar kan dit bij elke provider/mailserver. Gek eigenlijk dat dit nooit veranderd is.

Dit is mijn SPF record wat ik bij hostnet heb ingevoerd:
v=spf1 a:[mijndomein] ~all

Moet hier iets anders ingevoerd worden? Bij Strato staat het spf-record precies identiek, alleen dan met een andere domeinnaam.

[Briolet]

Of dat spf goed is, kan hier niemand beoordelen. Dat ligt helemaal aan je setup. Als je spf gebruikt moet je in elk geval ook opletten dat je de goede uitgaande smtp server bij je e-mail adres gebruikt. Dus niet al je mail-adressen via dezelfde server. Is dat goed, dan kun je de spf ook stringenter instellen met een '-all' i.p.v. '~all'.

Maar over de spf syntax staan elders veel betere manuals.