Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 38 subscribers
  • Views 17510 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Telnet Port 25 von außen auf Astaro

nikfe
Hallo,
wieso ist es möglich von außen
über Telnet Port 25 auf das MailGateway zu kommen?

wenn ich von außen -> "telnet 217.4.***.*** 25" aufrufe
meldet sich das MailGateway der Astaro.
"220 mx.domain.de ESMTP ready"

Config:
-----------------------------

Global SMTP settings
-domain.de eingetragen
Internal server: mein InternerMailserver

Relaying
Host-based relay
- mein InternerMailserver

Advanced setting:
-SMTP hostname: mx.domain.de
-Postmater adress: edv@domain.de

Smarthost settings
smarthost: smtp.1und1.de
+ authentication

Domain Profil
Default Profil
-Routed Domain: domain.de
Route Type: Host
Target Host: mein InternerMailserver


was habe ich falsch konfiguriert?


mit freundlichem gruss
nikfe


This thread was automatically locked due to age.
Parents
  • 0
    was habe ich falsch konfiguriert?

    Gar nichts.
  • 0 in reply to ClausP
    was heisst gar nichts?
    ist das normal?
  • 0 in reply to m.jost@paion.de
    ja die einstellungen sind ja alle gemacht, bei relaying ist unter host based nur
    der interne mailserver eingetragen,
    aber trotzdem ist es möglich von aussen via telnet öffentliche ip 25 mit der astaro zuverbinden, und dann könnte man mails im internen netz versenden:

    helo domaine.de
    mail from: user1@domaine.de
    rcpt to: user2@domaine.de
    data
    testmail
    .

    fertig, und der user2 erhält von user1 eine email.
    hat das noch nie jemand ausprobiert?

    mfg
    nikfe
  • 0 in reply to m.jost@paion.de
    Hallo,

    dazu gab es im englischsprachigen Forum schon einen Beitrag. Da hat jemand eine DNAT erstellt, die auf einen nicht existierenden Host im LAN zeigt. Habe das bei mir auch so gemacht, aber ich kann das jetzt nicht nachschauen, erst am Wochenende. Damit wird dann nicht autorisierter Mailverkehr ins Nirvana geschickt. Suche mal im Forum nach Port 25. So, habe mal schnell gesucht: Hier der Beitrag: https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/48196 .Ist die Antwort von nathanlock. Aber ich gebe Dir recht, bei einem Portscan von außen wird der Port 25 als offen angezeigt. Ich habe früher IPCOP genutzt, da waren alle Ports dicht. Trotz dem lief der Mailverkehr. 
    Gruß
    Egbert
  • 0 in reply to m.jost@paion.de
    Hallo,
    wenn ich es recht verstehe besteht die Angst, das die Astaro als Mail Relay aggiert.
    Normalerweise nimmt die Astaro für eine bestimmte Doamin Mails an z.B.
    für @firma.com. Mails die eingeliefert werden an @anderefrima.com sollen
    nich angenommen werden. Du willst ja kein Mailrelay für die Welt sein.
    In der SMTP Konfiguration kann man einstellen, für wenn die Astaro als
    Mailrelay arbeiten soll.
    In der Version 7.10x unter Email Security => SMTP => Relaying die
    Angaben machen und schon ist die Welt in Ordnung.

    Genau so sollte es sein...
  • 0 in reply to nikfe
    ja die einstellungen sind ja alle gemacht, bei relaying ist unter host based nur
    der interne mailserver eingetragen,
    aber trotzdem ist es möglich von aussen via telnet öffentliche ip 25 mit der astaro zuverbinden, und dann könnte man mails im internen netz versenden:

    helo domaine.de
    mail from: user1@domaine.de
    rcpt to: user2@domaine.de
    data
    testmail
    .

    fertig, und der user2 erhält von user1 eine email.

    und wie sollen Deiner Meinung nach sonst Mails an 
    interne User zugestellt werden wenn das nicht gehen würde?
    Solange domaine.de deine eigene interne Domain ist, hast du hier erst
    mal kein Problem!
  • 0 in reply to egbert
    Hallo,

    dazu gab es im englischsprachigen Forum schon einen Beitrag. Da hat jemand eine DNAT erstellt, die auf einen nicht existierenden Host im LAN zeigt. Habe das bei mir auch so gemacht, aber ich kann das jetzt nicht nachschauen, erst am Wochenende. Damit wird dann nicht autorisierter Mailverkehr ins Nirvana geschickt.

    Was soll denn nicht autorisierter Mailverkehr sein?

    Suche mal im Forum nach Port 25. So, habe mal schnell gesucht: Hier der Beitrag: http://www.astaro.org/showthread.php?t=20220&highlight=Port .Ist die Antwort von nathanlock. 

    In dem Thread geht es darum wie man den SMTP Proxy dazu bewegt
    nur auf einer bestimmten IP zu laufen, wenn man mehrer externe
    Interfaces hat. Das ist was anderes.

    Aber ich gebe Dir recht, bei einem Portscan von außen wird der Port 25 als offen angezeigt.

    Portscan detection auf der Astaro eingeschaltet?
    Wenn Du natürlich nur einen Portscan von Port 25 bis Port 25 durchführst
    (quasi telnet auf Port 25) greift die natürlich nicht.


    Ich habe früher IPCOP genutzt, da waren alle Ports dicht. Trotz dem lief der Mailverkehr. 

    Whow, das muss ja ein Teufelsding sein. Es lassen sich keinerlei Verbindungen über irgendeinen Port herstellen und trotzdem tut sich was. Das wäre sowas wie ein Auto ohne Motor das trotzdem fährt.
    Ich denke mal eher das bei dem IPCop die Portscan detection gegriffen hat und deshalb keine offenen Ports angezeigt wurden?
  • 0 in reply to SveN_01
    aber so kann doch jeder von aussen hergehen,
    und in meiner internen domain emails versenden.
    wenn jemand von meiner domain zwei adressen kennt, könnte er von dem einen an den anderen eine email senden.
    und ich weiss nicht ob das so lustig ist wenn jemand mit der emailadresse vom chef eine email an einen anderen mitarbeiter sendet wo z.b kündigung drin steht.

    mfg
    nikfe
  • 0 in reply to nikfe
    aber so kann doch jeder von aussen hergehen,
    und in meiner internen domain emails versenden.
    wenn jemand von meiner domain zwei adressen kennt, könnte er von dem einen an den anderen eine email senden.
    und ich weiss nicht ob das so lustig ist wenn jemand mit der emailadresse vom chef eine email an einen anderen mitarbeiter sendet wo z.b kündigung drin steht.

    mfg
    nikfe


    Damit hast du natürlich recht!
  • 0 in reply to SveN_01
    kann man da nichts dagegen machen?
    kann man nicht telnet port 25 von aussen irgendwie sperren, oder irgendwas anderes?

    mfg
    nikfe
  • 0 in reply to nikfe
    kann man da nichts dagegen machen?
    kann man nicht telnet port 25 von aussen irgendwie sperren, oder irgendwas anderes?

    mfg
    nikfe

    Wenn du "telnet port 25" von aussen sperrst empfängst du eben
    keine Mails mehr von extern, da alle Mailserver der Welt quasi
    über "telnet port 25" kommunizieren...
  • 0 in reply to SveN_01
    ja ich weiss, das wäre nicht von vorteil :-)
    aber bei anderen mailgateways ist das ja auch nicht so.

    nikfe
Reply Children
  • 0 in reply to nikfe
    ja ich weiss, das wäre nicht von vorteil :-)
    aber bei anderen mailgateways ist das ja auch nicht so.
    nikfe

    Also das wäre mir neu. Hast du ein Beispiel?
  • 0 in reply to SveN_01
    ja man muss ja nur bei irgendeiner emaildomain schaun ob man per telnet port 25 drauf kommt.
    z.b. telnet 88.198.68.108 25, das wäre die Domain klebl.de
    da bekommt man auch keine verbindung.

    nikfe
  • 0 in reply to nikfe
    ja man muss ja nur bei irgendeiner emaildomain schaun ob man per telnet port 25 drauf kommt.
    z.b. telnet 88.198.68.108 25, das wäre die Domain klebl.de
    da bekommt man auch keine verbindung.
    nikfe

    Das ist richtig, weil für die Domain klebl.de (IP-Adresse: 88.198.68.108, IP Host: hydra.auctores-consult.de) der MX record lautet:

    MX-Record: mx.noris.net
    MX-IP: 62.128.1.250

    und da kommst du hin...
  • 0 in reply to SveN_01
    und wieso komme ich dann bei mir drauf?

    mein mx-record: mx1.domain.de zeigt auf meine öffentliche ip,
    stimmt das nicht?

    nikfe
  • 0 in reply to SveN_01
    Hallo,
    da gibt es für den Kollegen eine einfache Lösung, alle Mails werden ausserhalb der Firma bei einem Provider angenommen und dann per smtp
    der Astaro zugestellt. In diesem Fall kannst Du es so einrichten, das nur noch
    der Vorgelagerte Mailserver mails abliefern kann. Deine Ausgehenden kannst
    Du entweder selbst versenden oder an Deinen Provider zum Versand weiterleiten.
    Das ganze hat schon einigen charme, es kann Dich niemand mit Mails bombarideren. Wenn dies geschieht, landen die erstmal alle beim Provider.
    Der Provider kann zusätzlich die Mails filtern (Virus, SPAM, etc), die Mails
    für eine Woche zwischenspeichern. All das bringt einiges an ruhe in die Firma
    falls mal der interne Kram nicht läuft. Falls es Provider klemmt einfach die
    Astaro annehmen lassen. Zu guter letzt filtert die Astaro nochmals alle
    emails, denn kein scanner erkennt alles und jeder scanner kennzeichnet mit
    einem anderen SPAM Kennzeichen (*SPAM) [SPAM] etc. und falls alle stricke reisen kann man die Mail bequem beim Provider aus dem Postfach nehmen, nachdem sich alle System geweigert hatten.
    Das ganze kostet etwas mehr, aber kein vermögen.

    LG Manfred
  • 0 in reply to nikfe
    und wieso komme ich dann bei mir drauf?

    mein mx-record: mx1.domain.de zeigt auf meine öffentliche ip,
    stimmt das nicht?
    nikfe

    Solange der Host der sich hinter mx1.domain.de verbirgt Mails
    für die domain.de Empfängt und intern verteilt ist das richtig.
  • 0 in reply to SveN_01
    der host mx1.domain.de ist die astaro, ist das falsch?

    nikfe
  • 0 in reply to nikfe
    der host mx1.domain.de ist die astaro, ist das falsch?

    nikfe

    nein, das ist richtig.
  • 0 in reply to SveN_01
    ok also brauch ich mir keine sorgen machen?
  • 0 in reply to nikfe
    ok also brauch ich mir keine sorgen machen?

    nein....... deshalb hast du ja ne astaro :-)
Unfiltered HTML