Verhalten der SMTP-Weiterleitung in Windows 2000, Windows XP und Exchange Server

Die SMTP-Weiterleitung (SMTP = Simple Mail Transfer Protocol) von Microsoft ist eine Funktion, die es einem SMTP-Client ermöglicht, mithilfe eines SMTP-Servers E-Mail-Nachrichten an eine Remotedomäne weiterzuleiten. Wie in den Abschnitten 2.1 und 3.7 im RFC (Request for Comments) 282 beschrieben wurde SMTP mit der Funktion versehen, E-Mail-Nachrichten weiterzuleiten.

Wenn die Weiterleitung jedoch nicht kontrolliert wird, könnte ein böswilliger Benutzer mithilfe der Weiterleitung unerwünschte Massen-E-Mail-Nachrichten versenden. Bei einem nicht kontrollierten Host spricht man von einem "Open Relay Host". Indem der böswillige Benutzer die unerwünschten E-Mail-Nachrichten über den zwischengeschalteten Host laufen lässt, kann er die eigene Identität verschleiern. Dadurch werden außerdem auf dem Weiterleitungshost übermäßig Ressourcen belegt, was dazu führen kann, dass erwünschte E-Mail-Nachrichten vorläufig nicht versendet werden. Die Absender solcher unerwünschten E-Mail-Nachrichten können so eine einzelne Nachricht an eine große Anzahl von Empfängern senden, ohne dafür die eigene Bandbreite verwenden zu müssen.

Die Microsoft-Produkte, die in diesem Artikel aufgeführt sind, sind nicht für offene Relays konfiguriert.

Wenn Sie mithilfe von Tools von Fremdanbietern einen SMTP-Server darauf überprüfen, ob eine Weiterleitung erfolgt, kann es den Anschein haben, dass der SMTP-Server den Test nicht besteht und das Microsoft SMTP-Produkt eine Weiterleitung zulässt, obwohl dies in Wirklichkeit gar nicht der Fall ist. Dieses Verhalten ist darauf zurückzuführen, dass der SMTP-Server die E-Mail-Nachricht möglicherweise nicht sofort zurückweist. Stattdessen verarbeitet der SMTP-Server die E-Mail-Nachricht und sendet einen Unzustellbarkeitsbericht (Non-Delivery Report, NDR). Weitere Informationen zur Antwort des SMTP-Servers auf die Weiterleitung finden Sie im Abschnitt "Antwort des SMTP-Servers auf die Weiterleitung". Weitere Informationen dazu, wie Sie Ihren SMTP-Server auf Weiterleitung überprüfen, finden Sie im Abschnitt "Auf Weiterleitung überprüfen".

Jede TO- oder FROM-Adresse in einer Übertragung mit dem SMTP-Protokoll besteht aus zwei Teilen, nämlich dem lokalen Teil und dem Domänenteil. Ist keine Domäne (also der Teil unmittelbar nach dem @-Zeichen) angegeben, wird davon ausgegangen, dass es sich um eine lokale E-Mail-Nachricht handelt. Bei einigen Microsoft SMTP-Produkten wird die lokale Domäne angehängt, weil manche Benutzer ihren SMTP-Client so konfigurieren, dass als E-Mail-Adresse lediglich ein Benutzername verwendet wird. Durch Anfügen der lokalen Standarddomäne durch den Microsoft-Server wird die mutmaßliche Domäne ergänzt, wodurch Supportkosten eingespart werden können.

Dieses Verhalten rührt daher, dass Microsoft SMTP-Produkte vor der Annahme einer SMTP-E-Mail-Nachricht zur Zustellung keine Verzeichnissuche durchführen. Microsoft SMTP-Produkte überprüfen lediglich die Domäne des Empfängers darauf, ob es sich um eine lokale oder ausdrücklich zugelassene Domäne handelt. Handelt es sich nicht um eine lokale oder zugelassene Domäne, antwortet der SMTP-Server mit einer Fehlermeldung ähnlich der folgenden: Es muss lediglich geprüft werden, ob die Domäne in der TO-Adresse auch wirklich die lokale Domäne ist, um eine Weiterleitung zu verhindern. Eine Überprüfung des Verzeichnisses auf dem Mail-Server darauf, ob die Empfängeradresse gültig ist, ist möglich, aber nicht zwingend erforderlich. Wenn der Mail-Server eine Nachricht annimmt und dann später feststellt, dass er diese nicht zustellen kann, muss der Server einen Unzustellbarkeitsbericht erstellen. Die Microsoft SMTP-Produkte erfüllen diese Anforderung.

Hinweis: Microsoft Exchange Server 2003 kann während einer Übertragung mit dem SMTP-Protokoll eine Verzeichnissuche durchführen. Diese Funktion kann im System-Manager aktiviert werden. Weitere Informationen zur Empfängerfilterung in Exchange Server 2003 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
Die Durchführung einer Verzeichnissuche während einer Übertragung mit dem SMTP-Protokoll kann zur Überprüfung von Adressen dienen. Daher empfiehlt Microsoft, die Funktion "TarpitTime" zu aktivieren, die im folgenden Artikel der Microsoft Knowledge Base beschrieben wird: Wichtig: Wenn Sie während einer Übertragung mit dem SMTP-Protokoll eine Verzeichnissuche durchführen müssen, können Sie einen Ereignisempfänger auf Basis des SMTP-Protokolls von Microsoft Windows 2000 einrichten. Weitere Informationen hierzu finden Sie auf folgender MSDN-SDK-Website zum Thema SMTP-Server-Ereignisse:

Antwort des SMTP-Servers auf die Weiterleitung

Die empfohlene RFC-kompatible Antwort sieht etwa folgendermaßen aus: Bei Produkten, die in diesem Artikel aufgeführt sind, entschied sich Microsoft aus folgenden Gründen gegen die Durchführung von Verzeichnissuchen während einer Übertragung mit dem SMTP-Protokoll:

• Wenn der SMTP-Server einen 5xx-Fehler an einen böswilligen Benutzer zurückgibt, der versucht, unerwünschte Massen-E-Mail-Nachrichten zu versenden, erfährt dieser Benutzer umgehend, welche Adressen real sind. Indem der böswillige Benutzer über das SMTP-Protokoll eine größere Menge von Namen versendet, kann er auf einfache Weise eine Liste gültiger E-Mail-Adressen erhalten. Dies kann auch ein Risiko für Ihre lokalen Benutzer darstellen, da Benutzerkontonamen häufig mit den E-Mail-Adressen identisch sind.
• Ein böswilliger Benutzer kann sich mithilfe der FROM-Adresse unerlaubten Zugang zu einem System verschaffen und dann über den Server des Geschädigten Unzustellbarkeitsberichte an den gewünschten Empfänger senden. Bei diesem Angriff ("Spoofing") fallen am Server nur so viele Daten an, wie der Angreifer selbst gesendet hat. Anders ausgedrückt: Will der böswillige Benutzer 1 MB (Megabyte) Daten an einen Dritten senden, muss er zum Senden der Daten an den SMTP-Server 1 MB seiner eigenen Bandbreite opfern. Normalerweise wird ein böswilliger Benutzer versuchen, selbst nur 1 MB an Daten zu versenden und damit bei dem oder den intendierten Opfern im Internet Hunderte von MB an Daten zu verursachen.
• Wird während der Übertragung mit dem SMTP-Protokoll eine Verzeichnissuche durchgeführt, wird dadurch unter Umständen die Übertragung mit dem SMTP-Protokoll um einiges langsamer. Zum Zeitpunkt der Veröffentlichung dieses Artikels galt für Microsoft die Maßgabe, dass der SMTP-Server so schnell wie möglich sein soll, um Blockaden von SMTP-Nachrichten im Internet oder bei Desktop-SMTP-Clients zu vermeiden. In bestimmten Fällen kann es auch vorkommen, dass das Verzeichnis nicht verfügbar ist oder dass eine Weiterleitung einer bestimmten Domäne erforderlich ist, möglicherweise aber keine Kopie des Verzeichnisses verfügbar ist. Dieses Verhalten kann in einer ISP-Hosting-Umgebung auftreten.

Auf Weiterleitung überprüfen

Sie können Ihren SMTP-Server daraufhin überprüfen, ob er für die Weiterleitung von E-Mail-Nachrichten konfiguriert ist. In den folgenden Beispielen werden die Weiterleitungstests 1 bis 5 vom SMTP-Server nicht akzeptiert und umgehend zurückgewiesen. Die Tests 6 und 7 werden vom SMTP-Server akzeptiert, die E-Mail-Nachricht wird jedoch nicht weitergeleitet, und der Server erstellt eventuell einen Unzustellbarkeitsbericht.

Wenn Sie die folgenden Weiterleitungstests durchführen möchten, müssen Sie zunächst eine Telnet-Sitzung starten und eine Verbindung zu Port 25 auf Ihrem SMTP-Server herstellen:

1. Öffnen Sie die Eingabeaufforderung.
2. Geben Sie telnet Servername 25 ein, wobei Servername der Name oder die IP-Adresse Ihres SMTP-Servers und 25 die Portnummer ist. Drücken Sie anschließend die [EINGABETASTE].
3. Geben Sie EHLO ein, und drücken Sie danach die [EINGABETASTE].

Weiterleitungstest 1

Dies ist der Standardtest für die SMTP-Weiterleitung. Ein SMTP-Client sollte Nachrichten nicht weiterleiten dürfen, sofern dies vom Systemadministrator nicht eigens erlaubt wurde oder sich der Client nicht vorher authentifiziert. Gehen Sie folgendermaßen vor, um diesen Test durchzuführen:

1. Geben Sie an der Aufforderung der Telnet-Sitzung RSET ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.0.0 Resetting
2. Geben Sie MAIL FROM:Benutzername@Domänenname.tld ein, wobei Benutzername für den Namen des Benutzers und Domänenname für den Namen der Domäne steht. tld ist in diesem Beispiel die Domäne der obersten Ebene, wie beispielsweise .com oder .net.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.1.0 Benutzername@Domänenname.tld....Sender OK
3. Geben Sie RCPT TO:Empfängername@Domänenname.tld ein, wobei Empfängername für die E-Mail-Adresse des Empfängers steht.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   550 5.7.1 Weiterleitung für Empfängername@ Domänenname.tld nicht möglich (Unable to relay for Empfängername@ Domänenname.tld)

Weiterleitungstest 2

Hierbei handelt es sich im Wesentlichen um denselben Test wie oben, wobei hier der Sender der E-Mail-Nachricht jedoch ein lokaler Benutzer ist und kein Benutzer in einer Remotedomäne. Da in der Regel FROM-Adressen dazu verwendet werden, unerlaubten Zugriff auf ein System zu erhalten, darf der Server die E-Mail-Nachricht nicht weiterleiten. Gehen Sie folgendermaßen vor, um diesen Test durchzuführen:

1. Geben Sie an der Aufforderung der Telnet-Sitzung RSET ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.0.0 Resetting
2. Geben Sie MAIL FROM:LokalerBenutzer ein, wobei LokalerBenutzer für einen lokalen E-Mail-Namen eines Benutzerkontos in der Domäne steht. Drücken Sie anschließend die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.1.0 LokalerBenutzer@Domänenname.tld....Sender OK
3. Geben Sie RCPT TO:Empfängername@Domänenname.tld ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   550 5.7.1 Weiterleitung für Empfängername@ Domänenname.tld nicht möglich (Unable to relay for Empfängername@ Domänenname.tld)

Weiterleitungstest 3

Dieser Test ist für eine leere FROM-Umschlagadresse oder eine FROM-Umschlagadresse mit der Angabe NULL gedacht. Unzustellbarkeitsberichte und andere Benachrichtigungen haben als FROM-Envelope-Adresse NULL. Benachrichtigungen dürfen jedoch nicht weitergeleitet werden, sofern es sich bei der Domäne in der TO-Adresse nicht um eine lokale Domäne handelt. Gehen Sie folgendermaßen vor, um diesen Test durchzuführen:

1. Geben Sie an der Aufforderung der Telnet-Sitzung RSET ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.0.0 Resetting
2. Geben Sie MAIL FROM:<> ein, und drücken Sie anschließend die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.1.0 <>....Sender OK
3. Geben Sie RCPT TO:Empfängername@Domänenname.tld ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   550 5.7.1 Weiterleitung für Empfängername@ Domänenname.tld nicht möglich (Unable to relay for Empfängername@ Domänenname.tld)

Weiterleitungstest 4

Hierbei handelt es sich um denselben Test wie Test 2, wobei hier jedoch die lokale Domäne explizit zur E-Mail-Adresse hinzugefügt wird. Ein SMTP-Server, der keine Weiterleitung zulassen soll, darf diese E-Mail-Nachricht nicht weiterleiten. Gehen Sie folgendermaßen vor, um diesen Test durchzuführen:

1. Geben Sie an der Aufforderung der Telnet-Sitzung RSET ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.0.0 Resetting
2. Geben Sie MAIL FROM:Benutzername@Domänenname.tld ein, wobei Domänenname für den Namen der lokalen Domäne steht. Drücken Sie anschließend die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.1.0 Benutzername@Domänenname.tld....Sender OK
3. Geben Sie RCPT TO:Benutzername@Domänenname.tld ein, und drücken Sie die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   550 5.7.1 Weiterleitung für Benutzername@ Domänenname.tld nicht möglich (Unable to relay for Benutzername@ Domänenname.tld)

Weiterleitungstest 5

Dieser Test ist auch der gleiche wie Weiterleitungstest 2, jedoch wird anstelle des Domänennamens die IP-Adresse des Servers verwendet. Obgleich dieses Adressformat generell akzeptiert wird, darf der Server eine Weiterleitung zu einer Remotedomäne nicht zulassen. Bei verschiedenen anderen Tests, bei denen als FROM-Adresse "localhost" oder der DNS (Domain Name System)-Name des Servers verwendet wird, darf der Server E-Mail-Nachrichten, die diesen Ansatz verwenden, nicht weiterleiten: Gehen Sie folgendermaßen vor, um diesen Test durchzuführen:

1. Geben Sie an der Aufforderung der Telnet-Sitzung RSET ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.0.0 Resetting
2. Geben Sie MAIL FROM:Benutzername@10.10.10.10 ein, und drücken Sie anschließend die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.1.0 Benutzername@10.10.10.10....Sender OK
3. Geben Sie RCPT TO:Benutzername@Domänenname.tld ein, und drücken Sie die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   550 5.7.1 Weiterleitung für Benutzername@ Domänenname.tld nicht möglich (Unable to relay for Benutzername@ Domänenname.tld)

Weiterleitungstest 6

Dieser Test ist speziell für ältere UNIX-basierte Server gedacht, die zum Weiterleiten von E-Mail-Nachrichten die lokale Domäne anhängen und das @-Zeichen durch ein Prozentzeichen (%) ersetzen. Der Server leitet die Mail dann weiter. Da es sich bei dem Prozentzeichen (%) um ein gültiges Zeichen im lokalen Teil der E-Mail-Adresse handelt, wird die Nachricht möglicherweise zunächst vom SMTP-Server entgegengenommen, später wird aber ein Unzustellbarkeitsbericht gesendet, wenn die Verzeichnissuche nicht erfolgreich war. Microsoft SMTP-Produkte sind hier nicht gefährdet, weil die Nachricht nicht weitergeleitet wird und stattdessen ein Unzustellbarkeitsbericht gesendet wird. Gehen Sie folgendermaßen vor, um diesen Test durchzuführen:

1. Geben Sie an der Aufforderung der Telnet-Sitzung RSET ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.0.0 Resetting
2. Geben Sie MAIL FROM:Benutzername ein, und drücken Sie anschließend die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   Benutzername@Domänenname.tld....Sender OK
3. Geben Sie RCPT TO:Benutzername%Domänenname.tld ein, und drücken Sie die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.1.5 Benutzername%Domänenname.tld@Domänenname.tldBenutzername@Domänenname.tld
   Hinweis: Die lokale Domäne ist in der E-Mail-Adresse an die Empfängerdomäne angehängt.

Weiterleitungstest 7

Dieser Test stellt eine andere Variante von Weiterleitungstest 6 dar. Da es sich bei dem Anführungszeichen (") um ein gültiges Zeichen im lokalen Teil der E-Mail-Adresse handelt, wird die Nachricht zunächst vom SMTP-Server entgegengenommen, später wird aber ein Unzustellbarkeitsbericht gesendet, wenn die Verzeichnissuche nicht erfolgreich war. Microsoft SMTP-Produkte sind hier nicht gefährdet, weil die Nachricht nicht weitergeleitet wird und stattdessen ein Unzustellbarkeitsbericht gesendet wird. Gehen Sie folgendermaßen vor, um diesen Test durchzuführen:

1. Geben Sie an der Aufforderung der Telnet-Sitzung RSET ein.
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   250 2.0.0 Resetting
2. Geben Sie MAIL FROM:Benutzername ein, und drücken Sie anschließend die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   Benutzername@Domänenname.tld....Sender OK
3. Geben Sie RCPT TO:Benutzername@Domänenname.tld ein, und drücken Sie die [EINGABETASTE].
   
   Die Telnet-Sitzung gibt eine Antwort mit etwa folgendem Inhalt zurück:
   "Benutzername@Domänenname.tld"@Domänenname.tld
   Hinweis: Die lokale Domäne ist in der E-Mail-Adresse an die Empfängerdomäne angehängt.

So stellen Sie fest, ob Ihr SMTP-Server für die Weiterleitung der Tests 6 und 7 geschlossen ist

Wenn Sie die Weiterleitungstests 6 und 7 bei einem Exchange 2000-Computer durchführen, senden die Tests eine Nachricht an den Empfänger, der diese nicht auflöst, und an das im Exchange System Manager angegebene Postfach werden Unzustellbarkeitsberichte gesendet. In Exchange System Manager können Sie in den Eigenschaften des standardmäßigen virtuellen SMTP-Servers auf der Registerkarte Nachrichten im Feld Alle E-Mails mit nicht ausgewerteten Empfängern weiterleiten an Host das Postfach für nicht ausgewertete Empfänger konfigurieren.

Die Unzustellbarkeitsberichte sind ein Hinweis darauf, dass die E-Mail-Nachrichten nicht weitergeleitet werden.

Weitere Informationen dazu, wie Sie bei der Verwendung von Exchange Server 5.5 Ihren Server so konfigurieren, dass er kein offenes Relay ist, finden Sie im folgenden Artikel der Microsoft Knowledge Base: Weitere Informationen dazu, wie Sie eine Weiterleitung in Windows 2000 verhindern, finden Sie im folgenden Artikel der Microsoft Knowledge Base: Es existieren gängige Tests, mit deren Hilfe man SMTP-Server darauf prüfen kann, ob eine Weiterleitung erfolgt. Sie können beispielsweise die folgenden Websites und Tools von Fremdanbietern verwenden:

• http://www.abuse.net/relay.html
  (http://www.abuse.net/relay.html)

Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Die in diesem Artikel genannten Fremdanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.