FAQ:Arktur33/kontrolle-absender

Aus Delixs
Zur Navigation springen Zur Suche springen


Baustelle Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.


Sicherung von E-Mail gegen Absenderfälschung

übernommen von www.arktur.th.schule.de/faq/3-1.htm

Diese Anleitung stammt aus einer Mail von Hans-Dietrich Kirmse


Es werden hier verschiedene Lösungen vorgestellt. Für die am ERG seit Jahren bewährte Lösung von Wolfram Pienkoss wird die Installation beschrieben.

folgendes Problem trat 1997 an unserer Schule auf:

ein Schüler änderte die Konfiguration von Netscape und sendete unter meinem Namen eine Mail an einen anderen Schüler, in welcher dieser in extremer Weise beschimpft wurde. Auch in anderen Schulen trat (nach Information in der schan-user-Liste bzw. der SN-Liste) diese Problematik auf.

folgende Lösungsansätze sind mir bekannt geworden:

 * nur den Einsatz von PINE auf dem Linuxserver zulassen. Auf diesen 
   wird per Telnet zugegriffen. Diese Variante wird von Andreas Rittershofer 
   seit Jahren erfolgreich praktiziert.
 * Der Einsatz von Mercury auf einen Novell- bzw. WinNT-Server im Zusammenspiel
   mit Pegasus-Mail. Auch hier ist die Konfiguration so möglich, das die 
   Absenderadresse nicht gefälscht werden kann.
 * Die Lösung mit Inis scheint ebenfalls dieses Problem zu lösen - ich kann dazu 
   aber keine präzise Aussage treffen.
 * Die übliche Provider-Lösung  pop4smtp bringt einige Anwendungsprobleme mit 
   sich. Außerdem schafft das keine grundlegende Sicherheit. Ist aber besser als nichts.
 * Nur der Einsatz von Webmail wird zugelassen. Dieses sollte so eingestellt werden 
   können, das ein Login und Passwort  abgefragt und die Absenderadresse entsprechend
   gesetzt wird.
 * Die Lösung von Wolfram Pienkoss geht davon aus, das im Schulnetz jeder mit einem 
   persönlichen Account angemeldet ist. Bevor die Mail dem sendmail-Programm übergeben
   wird, wird durch ein Perlscript (bei uns) von der Fileserver-Anmeldung (analoges 
   ist möglich bei Anmeldungen am NFS-Server ...) das Login ermittelt und damit die 
   korrekte Absenderadresse als zusätzliche Headerzeile eingefügt. Zwar wird damit 
   die Fälschung als solche nicht verhindert, aber sie ist sofort offensichtlich. 
   Außerdem ist dieses unabhängig vom verwendeten Client (solange das Programm nicht
   auf dem Server läuft). Es besitzt außerdem die Möglichkeit Accounts für smtp zu 
   sperren und ist auch für News realisiert. 

Es wurden die Scripte von Wolfram Pienkoss durch ihn speziell für Arktur angepaßt. Die Originalscripte u.v.a. finden Sie auf der Homepage des Staatlichen Berufschulzentrum Hermsdorf. Bei uns ist derzeit der Newsserver nicht im Einsatz. Betrifft also nur E-Mail. Es wurden weiterhin das Sperren von Mails (nur senden) und die "schwarzen Schafe" noch nicht getestet.

 * download von checkuser-0_0_9.tar.gz
 * in Arktur (mit MC) entpacken.
 * alle Dateien von /a/checkuser-0.0.9/usr/sbin  nach '/usr/sbin' kopieren
 * ebenso: /a/checkuser-0.0.9/etc/checkuser.conf
   und     /a/checkuser-0.0.9/etc/checkuser.deny  nach  '/etc' kopieren. 

Es wurde von Wolfram Pienkoss eine checkuser.conf.arktur mitgeliefert. Diese muß nur umbenannt und darin der Name meiner Schule durch den richtigen Namen ersetzt werden.

In /etc müssen folgende 3 Dateien geändert/ergänzt werden:

 1. /etc/rc.config  :  "START_SENDMAIL=no"
 2. /etc/inetd.conf :  ergänzen von
    smtp   stream tcp nowait root /usr/sbin/checksmtp   /usr/sbin/checksmtp
    wrapped-smtp stream tcp nowait root /usr/sbin/sendmail  /usr/sbin/sendmail
 3. /etc/services   :  ergänzen von
    # wrapped services
    wrapped-smtp    7396/tcp

Neustart von Arktur (habe ich jedenfalls getan) - fertig


Eintrag stammt vom 27. Oktober 2000



zurück