Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Telnet Port 25 von außen auf Astaro

Hallo,
wieso ist es möglich von außen
über Telnet Port 25 auf das MailGateway zu kommen?

wenn ich von außen -> "telnet 217.4.***.*** 25" aufrufe
meldet sich das MailGateway der Astaro.
"220 mx.domain.de ESMTP ready"

Config:
-----------------------------

Global SMTP settings
-domain.de eingetragen
Internal server: mein InternerMailserver

Relaying
Host-based relay
- mein InternerMailserver

Advanced setting:
-SMTP hostname: mx.domain.de
-Postmater adress: edv@domain.de

Smarthost settings
smarthost: smtp.1und1.de
+ authentication

Domain Profil
Default Profil
-Routed Domain: domain.de
Route Type: Host
Target Host: mein InternerMailserver


was habe ich falsch konfiguriert?


mit freundlichem gruss
nikfe


This thread was automatically locked due to age.
Parents
  • was habe ich falsch konfiguriert?

    Gar nichts.
  • was heisst gar nichts?
    ist das normal?
  • ja das ist mir schon klar dass die Astaro die Mails über Port25 annimmt,
    nur ist es natürlich nicht so toll, wenn sich irgend jemand
    per telnet 217.***.***.*** 25 mit der Astaro verbinden kann,
    und per helo domain.de mails im internen netz absetzen kann.



    mfg
    nikfe
  • ...so einfach ist das nun auch nicht. 

    Ich gebe Dir allerdings in einem Punkt recht, in früheren Versionen konnte man die Interfaces noch auswählen auf denen die Verbindungen angenommen wurden. Das ist allerdings auch nur für diejenigen interessant gewesen, bei denen das MX nicht auf das externe Interface gezeigt hat.

    Warum das abgeschafft wurde kann ich Dir auch nicht sagen.
  • ja das ist mir schon klar dass die Astaro die Mails über Port25 annimmt,
    nur ist es natürlich nicht so toll, wenn sich irgend jemand
    per telnet 217.***.***.*** 25 mit der Astaro verbinden kann,
    und per helo domain.de mails im internen netz absetzen kann.

    Ich glaube wir reden aneinander vorbei.
    Möchtest du *nicht* das irgendjemand dir Mails
    per SMTP senden kann? Sprich: Du holst deine
    Mails dann per POP3 ab.
  • Hallo,

    nein ich empfange und sende schon über smtp port 25. kein pop3.
    der mx-record zeigt auch auf meine öffentliche ip.
    aber wenn ich von außen: telnet öffentliche ip 25 eingebe, meldet
    sich die astaro wie wenn ich von innen drauf gehe, und das sollte doch nicht sein oder?

    mfg
    nikfe
  • Hallo,
    wenn ich es recht verstehe besteht die Angst, das die Astaro als Mail Relay aggiert.
    Normalerweise nimmt die Astaro für eine bestimmte Doamin Mails an z.B.
    für @firma.com. Mails die eingeliefert werden an @anderefrima.com sollen
    nich angenommen werden. Du willst ja kein Mailrelay für die Welt sein.
    In der SMTP Konfiguration kann man einstellen, für wenn die Astaro als
    Mailrelay arbeiten soll.
    In der Version 7.10x unter Email Security => SMTP => Relaying die
    Angaben machen und schon ist die Welt in Ordnung.

    LG Manfred
  • ja die einstellungen sind ja alle gemacht, bei relaying ist unter host based nur
    der interne mailserver eingetragen,
    aber trotzdem ist es möglich von aussen via telnet öffentliche ip 25 mit der astaro zuverbinden, und dann könnte man mails im internen netz versenden:

    helo domaine.de
    mail from: user1@domaine.de
    rcpt to: user2@domaine.de
    data
    testmail
    .

    fertig, und der user2 erhält von user1 eine email.
    hat das noch nie jemand ausprobiert?

    mfg
    nikfe
  • Hallo,

    dazu gab es im englischsprachigen Forum schon einen Beitrag. Da hat jemand eine DNAT erstellt, die auf einen nicht existierenden Host im LAN zeigt. Habe das bei mir auch so gemacht, aber ich kann das jetzt nicht nachschauen, erst am Wochenende. Damit wird dann nicht autorisierter Mailverkehr ins Nirvana geschickt. Suche mal im Forum nach Port 25. So, habe mal schnell gesucht: Hier der Beitrag: https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/48196 .Ist die Antwort von nathanlock. Aber ich gebe Dir recht, bei einem Portscan von außen wird der Port 25 als offen angezeigt. Ich habe früher IPCOP genutzt, da waren alle Ports dicht. Trotz dem lief der Mailverkehr. 
    Gruß
    Egbert
  • Hallo,
    wenn ich es recht verstehe besteht die Angst, das die Astaro als Mail Relay aggiert.
    Normalerweise nimmt die Astaro für eine bestimmte Doamin Mails an z.B.
    für @firma.com. Mails die eingeliefert werden an @anderefrima.com sollen
    nich angenommen werden. Du willst ja kein Mailrelay für die Welt sein.
    In der SMTP Konfiguration kann man einstellen, für wenn die Astaro als
    Mailrelay arbeiten soll.
    In der Version 7.10x unter Email Security => SMTP => Relaying die
    Angaben machen und schon ist die Welt in Ordnung.

    Genau so sollte es sein...
  • ja die einstellungen sind ja alle gemacht, bei relaying ist unter host based nur
    der interne mailserver eingetragen,
    aber trotzdem ist es möglich von aussen via telnet öffentliche ip 25 mit der astaro zuverbinden, und dann könnte man mails im internen netz versenden:

    helo domaine.de
    mail from: user1@domaine.de
    rcpt to: user2@domaine.de
    data
    testmail
    .

    fertig, und der user2 erhält von user1 eine email.

    und wie sollen Deiner Meinung nach sonst Mails an 
    interne User zugestellt werden wenn das nicht gehen würde?
    Solange domaine.de deine eigene interne Domain ist, hast du hier erst
    mal kein Problem!
  • Hallo,

    dazu gab es im englischsprachigen Forum schon einen Beitrag. Da hat jemand eine DNAT erstellt, die auf einen nicht existierenden Host im LAN zeigt. Habe das bei mir auch so gemacht, aber ich kann das jetzt nicht nachschauen, erst am Wochenende. Damit wird dann nicht autorisierter Mailverkehr ins Nirvana geschickt.

    Was soll denn nicht autorisierter Mailverkehr sein?

    Suche mal im Forum nach Port 25. So, habe mal schnell gesucht: Hier der Beitrag: http://www.astaro.org/showthread.php?t=20220&highlight=Port .Ist die Antwort von nathanlock. 

    In dem Thread geht es darum wie man den SMTP Proxy dazu bewegt
    nur auf einer bestimmten IP zu laufen, wenn man mehrer externe
    Interfaces hat. Das ist was anderes.

    Aber ich gebe Dir recht, bei einem Portscan von außen wird der Port 25 als offen angezeigt.

    Portscan detection auf der Astaro eingeschaltet?
    Wenn Du natürlich nur einen Portscan von Port 25 bis Port 25 durchführst
    (quasi telnet auf Port 25) greift die natürlich nicht.


    Ich habe früher IPCOP genutzt, da waren alle Ports dicht. Trotz dem lief der Mailverkehr. 

    Whow, das muss ja ein Teufelsding sein. Es lassen sich keinerlei Verbindungen über irgendeinen Port herstellen und trotzdem tut sich was. Das wäre sowas wie ein Auto ohne Motor das trotzdem fährt.
    Ich denke mal eher das bei dem IPCop die Portscan detection gegriffen hat und deshalb keine offenen Ports angezeigt wurden?
Reply
  • Hallo,

    dazu gab es im englischsprachigen Forum schon einen Beitrag. Da hat jemand eine DNAT erstellt, die auf einen nicht existierenden Host im LAN zeigt. Habe das bei mir auch so gemacht, aber ich kann das jetzt nicht nachschauen, erst am Wochenende. Damit wird dann nicht autorisierter Mailverkehr ins Nirvana geschickt.

    Was soll denn nicht autorisierter Mailverkehr sein?

    Suche mal im Forum nach Port 25. So, habe mal schnell gesucht: Hier der Beitrag: http://www.astaro.org/showthread.php?t=20220&highlight=Port .Ist die Antwort von nathanlock. 

    In dem Thread geht es darum wie man den SMTP Proxy dazu bewegt
    nur auf einer bestimmten IP zu laufen, wenn man mehrer externe
    Interfaces hat. Das ist was anderes.

    Aber ich gebe Dir recht, bei einem Portscan von außen wird der Port 25 als offen angezeigt.

    Portscan detection auf der Astaro eingeschaltet?
    Wenn Du natürlich nur einen Portscan von Port 25 bis Port 25 durchführst
    (quasi telnet auf Port 25) greift die natürlich nicht.


    Ich habe früher IPCOP genutzt, da waren alle Ports dicht. Trotz dem lief der Mailverkehr. 

    Whow, das muss ja ein Teufelsding sein. Es lassen sich keinerlei Verbindungen über irgendeinen Port herstellen und trotzdem tut sich was. Das wäre sowas wie ein Auto ohne Motor das trotzdem fährt.
    Ich denke mal eher das bei dem IPCop die Portscan detection gegriffen hat und deshalb keine offenen Ports angezeigt wurden?
Children
  • Hallo, SveN,


    Whow, das muss ja ein Teufelsding sein. Es lassen sich keinerlei Verbindungen über irgendeinen Port herstellen und trotzdem tut sich was. Das wäre sowas wie ein Auto ohne Motor das trotzdem fährt.
    Ich denke mal eher das bei dem IPCop die Portscan detection gegriffen hat und deshalb keine offenen Ports angezeigt wurden?


    ich habe mich da falsch ausgedrückt. Mit alle Ports dicht meinte ich natürlich, dass bei einem Portscan von aussen keine offenen Ports bei der IPCOP-FW angezeigt wurden. 

    MfG
    Egbert