Exchange 2003 – Anpassen des SMTP-Banners

Sicherlich werden Sie sich fragen warum sollte ich den SMTP-Banner eines Exchange Server anpassen? Die Anpassung geschieht grundsätzlich aus Sicherheitsgründen, denn vielfach ist nicht bewusst, welche Auskünfte der Banner eines SMTP-Servers gibt. Damit würden sich beim Betrieb des Exchange Servers direkt am Internet, was durchaus in kleineren IT-Umgebungen nicht unüblich ist – denken wir insbesondere auch den Einsatz von Windows Small Business Server Umgebungen – einem potentiellen Angreifer viele „hilfreiche“ Informationen bieten, damit er seine Attacken gezielt auf die SMTP-Version abstimmen kann. Nicht zuletzt werden diese Daten ja oftmals während der Nachrichtenübermittlung von den sendenden SMTP-Servern in Logdateien gespeichert und lassen sich somit auch im Nachhinein relativ einfach auswerten.

Um dies zu verhindern, sollte eine Anpassung des SMTP-Banners in Betracht gezogen werden. Betrachten wir beispielhaft den Banner eines frisch installierten Exchange 2003 Servers. Zu diesem Zweck verbinden wir uns mit Telnet direkt auf den SMTP-Port 25 des Servers.

C:\> telnet <Servername> 25

Der Server antwortet nun mit folgender Meldung:

220 msxsrv.your-admin.local Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at  Tue, 08 Aug 2008 13:56:50 +0100

Neben dem Hostnamen, der über die Eigenschaften des virtuellen SMTP-Servers durchaus mit einfachen Mitteln angepasst werden kann, erhalten wir hier die Auskunft, dass es sich beim SMTP-Server um einen Exchange Server 2003 auf Windows Server 2003 handelt. Detaillierte Informationen zu den einzelnen Versionsnummern finden sich für jedermann zugänglich im Internet, so dass wir an dieser Stelle darauf verzichten.

Eine Anpassung des SMTP-Banners direkt auf dem Exchange Server könnte beispielsweise nachfolgendes Ergebnis liefern:

220 mail.your-admin.com YOUR-ADMIN Your Exchange Specialists Tue, 08 Aug 2008 14:29:52 +0100

In diesem Fall liefert der kontaktierte SMTP-Server neben dem Hostnamen nur noch das Datum und die Uhrzeit, sowie einen individuellen Text, der keinerlei Rückschlüsse auf den eigentlichen SMTP-Dienst zulässt. Individuell wurde hier der Text „YOUR-ADMIN Your Exchange Specialists“ eingefügt, der vollständig die „kritischen“ Angaben zur Version und dem Hersteller ersetzt.

Es gibt mehrere gangbare Wege, diesen individuellen Text einem Windows SMTP-Dienst mitzugeben. In unserem Workshop bedienen wir uns eines Werkzeugs aus dem IIS Resource Kit von Microsoft, dem IIS Metabase Explorer. Die Internet Information Services (IIS) Resource Kit Tools stehen direkt im Microsoft Download Center zur Verfügung.

Nach dem Download der Tools installieren Sie sich diese entweder direkt auf dem Exchange Server oder zur Administration eingesetzten Arbeitsstation oder Server. Das Setupprogramm erlaubt außerdem die Auswahl der Komponenten im Detail, so dass Sie auch ausschließlich den IIS Metabase Explorer installieren können.

Starten Sie das Tool aus der Programmgruppe IIS Resources – Metabase Explorer. Der Explorer verbindet sich nun direkt mit der lokalen Metabase des IIS Servers. Sollten Sie das Tool von einer entfernten Arbeitsstation aus starten, haben Sie über den Menüpunkt METABASE – CONNECT die Möglichkeit in nachfolgendem Dialog sich direkt mit dem gewünschten Server und der dortigen Metabase zu verbinden. (Bild 1)

it-administrator-01-2007-artikel-bild-1.jpg

Nach dem erfolgreichen Verbindungsaufbau erhalten Sie eine explorerartige Übersicht der einzelnen Komponenten des verbundenen IIS, darunter findet sich auch der virtuelle Standardserver für SMTP. (Bild 2)

it-administrator-01-2007-artikel-bild-2.jpg

Wählen Sie in der Struktur die Instanz des gewünschten Virtuellen SMTP Servers, nach einer Standardinstallation sollte das die „1“ sein, und finden nun auf der rechten Seite diverse Eigenschaften. Mittels Rechtsklick auf die Instanz nummer „1“ erstellen Sie nun einen neuen String und wählen als Record Name „ConnectResponse“ mit dem Identifier 36907. (Bild 3)

it-administrator-01-2007-artikel-bild-3.jpg

Abschließend tragen Sie das gewünschte SMTP-Banner in das Feld ein. Damit die Anpassung nun wirksam wird, ist ein Neustart des SMTP-Dienstes notwendig. Überprüfen Sie im Anschluss mittels telnet <Servername> 25 das nun individuelle SMTP-Banner.
Hinweis:
Gehen Sie bei Änderungen am SMTP-Server mit Vorsicht vor, ansonsten könnten Sie die Funktion des SMTP-Dienstes in unerwünschtem Maße beinträchtigen.