This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

geöffnete E-Mail Ports auf WAN-Schnittstelle

Hallo Liebe Community,

 

 

Vorab kurz eine Beschreibung zu unserem Sophos System:

Typ: SG310

Version: 9.603-1

 

Nun zu meinem Problem:

ich verzweifle gerade an einem mir unerklärlichen Verhalten der Sophos. Unser Mutterunternehmen macht sporadisch Securityscans unserer Systeme und schickt uns gegebenenfalls eine Info wenn etwas Sicherheitsseitig nicht rund läuft.

Wir haben von unserem ISP 5 öffentliche feste IP Adressen zur Verfügung. Wir haben ein WAN1 Interface angelegt (Dieses erhält schon mal die erste IP Adresse) und die restlichen 4 Adressen haben wir als additonal Addresses (an das WAN1 Interface verknüpft) angelegt. Diese sind dann für bestimmte öffentliche Dienste gedacht, welche von außen erreichbar sein müssen.

Es wird bemängelt dass eine dieser additonal Addresses Interface über den Port 465 erreichbar ist und das dahinter liegende Proxyzertifikat nicht sicher sei (siehe Anhang 1). Das Proxyzertifikat, welches hier bemängelt wird, passt nicht zu dem eigentlichen Proxyzertifikat welches wir derzeit von der Sophos einsetzen. Daher die Frage:

Woher bezieht er sich dieses falsche Zertifikat?

 

Die zweite Frage ist, warum ist dieses Interface über den Port 465 erreichbar. in den normalen Firewall Einstellungen ist derartiges nicht konfiguriert. Ich habe sogar eine DROP Regel erstellt, welches alles über den Port 465 auf dieses Interface blockieren soll. Leider tangiert diese Einstellung das Interface wenig. Über einen Portscan ist dieser Port weiterhin geöffnet. Scheinbar greift hier eine Regel welche über den Firewall Regeln Vorrang hat. Nur leider weiß ich nicht welche dies sein könnte. Wir nutzen auch den SMTP Proxy für das versenden von internen Emails über den SMTP Relay. Nur leider kann ich dort auch keine Möglichkeit finden, bestimmte Ports zu sperren oder zuzulassen. Legt der SMTP Proxy eventuell schon eigene Regeln im Hintergrund an auf die man gar keinen Einfluss hat und diese haben prinzipiell Vorrang vor den normalen Firewall Einstellungen?

Vielleicht habt ihr ja einen Ansatz voran es liegen kann. Ich entschuldige mich, falls hier noch zu wenig Infos enthalten sind.

 

Vielen Dank!



This thread was automatically locked due to age.
Parents
  • Hallo Dirk,

    der Reihe nach. Auf Port 465 lauscht die Email-Protection, d. h. der SMTP Proxy. Auf Port 465 befindet sich SMTPS. Leider öffnet die UTM entsprechende Ports auf allen IPs der Schnittstellen, die unter Lausch-Schnittstellen eingetragen sind.

    Versuch mal eine DNAT Regel in folgender Art. Im Ziel solltest Du eine Auswahl der IPs treffen, die nicht für SMTP in Frage kommen.

     

    Das Zertifikat dürfte das sein, welches unter Email-Protection -> SMTP -> Erweitert -> TLS-Einstellungen gewählt ist.

     

    Beste Grüße

    Alex

    -

  • Hallo Alex,

    vielen Dank für die schnelle Antwort! das hat super geklappt und ich bin jetzt wieder ein bisschen schlauer.

     

    Danke!

  • Hallo Dirk,

    freut mich. Wäre nett, wenn Du die Frage noch als beantwortet markieren würdest. Ist für zukünftige Suchen einfacher zu lesen der Thread.

    Beste Grüße

    Alex

    -

Reply Children
No Data