Main Menu

Home
Artikel
News
UwiN Forum
Downloads
Web-Links
Impressum/Disclaimer
Board-Regeln
Web-Chat
Kontakt

Login Form






Passwort verloren?
Home arrow Artikel arrow Security arrow Exchange Bannermeldung sichern
Exchange Bannermeldung sichern PDF Drucken E-Mail
Geschrieben von Frank Solinske   
Wie man bei einem Excahnge Server die bannermeldung abändern, um die ZUgriffe zu sichern. Absichern der Exchange Willkommen Meldung
 
 
Inhaltsverzeichnis:
 
 
Einleitung: 1
1. Ändern des SMTP Banners. 2
2. Ändern des POP/IMAP Banners. 2
3. Ändern der Standardmeldung nachdem man sich mit einem Exchange 2003 verbindet 3
4. Namenserklärung: 4
 

Einleitung:

 
Eine der häufigsten Schwachstellen in einem Unternehmensnetzwerk ist immer (noch) der Mailserver. Viele Installationen die ich kontrolliert habe wurden nicht auf dieses Problem kontrolliert. Leider ist es by Design so, dass der Exchange Server gerne ausplaudert wer er ist ! Aber man kann diese Halo-Meldung verändern und so seine Identität verbergen.
 
 
*** ACHTUNG !!! ***
*** DIESE ANLEITUNG SOLLTEN NUR ERFAHRENE ADMINS BEFOLGEN ***
*** BITTE UNBEDINNGT EINE SICHERUNG ANFERTIGEN ***
 
 
Diese Anleitung bezieht sich auf Exchangeserver ab Version 2000 und Windows 2000 Server !!! Wie man ein Backup der Metabase anfertigt kann man in der Hilfe der MMC nachlesen. Auch diese Sicherung sollte von erfahrenen Administratoren angefertigt werden.
Ein defekter IIS führt meist zu schwerwiegenden Folgefehlern.
 
Alle Änderungen die an der Metabase gemacht werden passieren auf eigene Gefahr ! Ich übernehme keine Garantie auf Erfolg !!!
 
Man benötigt einen Meta Editor z.B. MetaEdit 2.2 diesen kann man unter folgendem Link downloaden:
 
 http://download.microsoft.com/download/iis50/Utility/5.0/NT45/EN-US/MtaEdt22.exe
 

1. Ändern des SMTP Banners

 
 
Stellt man eine Telnetverbindung zu einem SMTP Relay des Exchange Servers her, dann wird einem folgende Meldung begegnen:
 
220 hostname.domain.com Microsoft ESMTP MAIL Service, Version: 5.0.2195.1600 ready at Sun, 16 Oct 2005 16:28:43 -0600
Damit bekommt man eine Menge an Informationen, die man eigentlich gar nicht bekommen sollte ! Niemand sollte so einfach erfahren, welche Version des Servers genutzt wird. Sowas öffnet einem Tür & Tor für einen Social Engineering Angriff !!!
Mit dem Metaeditor sucht man folgenden Eintrag:
Lm\Smtpsvc\virtual server number
Dann Edit - New - String
Der eingetragene Wert in der Box MUSS anders als 36907 (dezimal) sein. In dem Feld Data kann man nun die neue Displaymeldung eintragen. Wie z.B. ***************
Nun muss abschliessend der Virtuelle Server für SMTP neu gestartet werden, damit die Einstellungen überneommen werden.
Eine erneute Telnetverbindung zum SMTP Relay des Servers zeigt nun ein völlig anderes Bild:
220 hostname.domain.com **************** ready at Sun, 16 Oct 2005 16:42:45 -0600
Der FQDN wird immer noch angezeigt, dieser ist in den Eigenschaften des SMTP Dienstes eingetragen.

2. Ändern des POP/IMAP Banners

 
Stellt man eine Verbindung mit POP3 oder IMAP zu einem Exchange Server her, dann bekommt man eine Bannermeldung die ungefähr so aussehen könnte:
 
Microsoft Exchange 2000 POP3 server version 6.0.4417.0 (Mein Server) ready.
 
Um den Willkommen- und Abmeldebanner zu ändern fürht man folgended Schritte aus.
 
  1. Den zu ändernen Dienst stoppen (POP3 oder IMAP)
  2. In der Commandozeile gibt man diesem Syntax ein, um z.B eine IMAP4 Verbindung zu verändern: (neuer Banner beschreibt den neuen Banner text)
smtpmd SET -path imap4svc/1 -dtype STRING -prop 49884 -value "<neuer Banner>"

Die Liste zeigt die verschiedenen Werte für Metabase Keys
·                            POP3ConnectionString - 41661
·                            POP3DisconnectionString - 41662
·                            IMAP4ConnectionString - 49884
·                            IMAP4DisconnectionString - 49885
 
  1. Die Dienste neu starten.
Diese Veränderungen betreffen immer alle virtuellen Server, es ist nicht möglich unterschiedliche Bannermeldungen zu definieren !

3. Ändern der Standardmeldung nachdem man sich mit einem Exchange 2003 verbindet

 
Dieser Abschnitt beschreibt, wie man Standardinformationen im SMTP Protokoll verändert, die einem gezeigt werden, wenn man sich per TCP mit einem Exchange 2003 Server verbindet.
 
Stellt man eine Telnetverbindung zu einem Exchange 2003 Server her, dann wird einem folgende (ähnliche) Standardmeldung präsentiert.
 
220 Computer Name.Domain Name.com Microsoft ESMTP MAIL Service, Version: Version Number ready at Date Time +0000
Diese weicht leicht von der Meldung vom Exchaneg 2000 ab. Damit man die Bannermeldung abändern kann, führt man bei einem Exchange 2003 ein spezielles Script aus, welches mitgeliefert wird.
·         Start - Ausführen - CMD
·         In das Adminscriptverzeichnis wechseln (Drive:\Inetpub\Adminscripts)
cscript adsutil.vbs set smtpsvc/vsi number/connectresponse "Mein Text"
 
"Mein Text" beschreibt die neue Bannermeldung
Vsi number beschreibt die Nummer des virtuellen SMTP Servers
 
Danach die SMTP Dienste neu starten, damit die Einstellungen übernommen werden.
 
Net stop smtpsvc            (stoppt den SMTP Dienst)
Net start smtpsvc            (startet den SMTP Dienst)
 
 

4. Namenserklärung:

 
MMC                = Microsoft Management Console
SMTP              = Simple Mail Transfer Protokoll
MS                   = Microsoft
FQDN              = Full Qualified Doamin Name
POP3              = Post Office Protokoll Version 3
IMAP                = Internet Messange Access Protocol
TCP                 = Transmission Control Protocol
IIS                    = Interner Information Service
 
 
 
© 2005 by Frank Solinske - Unterwegs-im.net
 
< Zurück   Weiter >
© 2012 Unterwegs im Net
Joomla! is Free Software released under the GNU/GPL License.