Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Telnet Port 25 von außen auf Astaro

Hallo,
wieso ist es möglich von außen
über Telnet Port 25 auf das MailGateway zu kommen?

wenn ich von außen -> "telnet 217.4.***.*** 25" aufrufe
meldet sich das MailGateway der Astaro.
"220 mx.domain.de ESMTP ready"

Config:
-----------------------------

Global SMTP settings
-domain.de eingetragen
Internal server: mein InternerMailserver

Relaying
Host-based relay
- mein InternerMailserver

Advanced setting:
-SMTP hostname: mx.domain.de
-Postmater adress: edv@domain.de

Smarthost settings
smarthost: smtp.1und1.de
+ authentication

Domain Profil
Default Profil
-Routed Domain: domain.de
Route Type: Host
Target Host: mein InternerMailserver


was habe ich falsch konfiguriert?


mit freundlichem gruss
nikfe


This thread was automatically locked due to age.
Parents
  • was habe ich falsch konfiguriert?

    Gar nichts.
  • was heisst gar nichts?
    ist das normal?
  • ja die einstellungen sind ja alle gemacht, bei relaying ist unter host based nur
    der interne mailserver eingetragen,
    aber trotzdem ist es möglich von aussen via telnet öffentliche ip 25 mit der astaro zuverbinden, und dann könnte man mails im internen netz versenden:

    helo domaine.de
    mail from: user1@domaine.de
    rcpt to: user2@domaine.de
    data
    testmail
    .

    fertig, und der user2 erhält von user1 eine email.

    und wie sollen Deiner Meinung nach sonst Mails an 
    interne User zugestellt werden wenn das nicht gehen würde?
    Solange domaine.de deine eigene interne Domain ist, hast du hier erst
    mal kein Problem!
  • Hallo,

    dazu gab es im englischsprachigen Forum schon einen Beitrag. Da hat jemand eine DNAT erstellt, die auf einen nicht existierenden Host im LAN zeigt. Habe das bei mir auch so gemacht, aber ich kann das jetzt nicht nachschauen, erst am Wochenende. Damit wird dann nicht autorisierter Mailverkehr ins Nirvana geschickt.

    Was soll denn nicht autorisierter Mailverkehr sein?

    Suche mal im Forum nach Port 25. So, habe mal schnell gesucht: Hier der Beitrag: http://www.astaro.org/showthread.php?t=20220&highlight=Port .Ist die Antwort von nathanlock. 

    In dem Thread geht es darum wie man den SMTP Proxy dazu bewegt
    nur auf einer bestimmten IP zu laufen, wenn man mehrer externe
    Interfaces hat. Das ist was anderes.

    Aber ich gebe Dir recht, bei einem Portscan von außen wird der Port 25 als offen angezeigt.

    Portscan detection auf der Astaro eingeschaltet?
    Wenn Du natürlich nur einen Portscan von Port 25 bis Port 25 durchführst
    (quasi telnet auf Port 25) greift die natürlich nicht.


    Ich habe früher IPCOP genutzt, da waren alle Ports dicht. Trotz dem lief der Mailverkehr. 

    Whow, das muss ja ein Teufelsding sein. Es lassen sich keinerlei Verbindungen über irgendeinen Port herstellen und trotzdem tut sich was. Das wäre sowas wie ein Auto ohne Motor das trotzdem fährt.
    Ich denke mal eher das bei dem IPCop die Portscan detection gegriffen hat und deshalb keine offenen Ports angezeigt wurden?
  • aber so kann doch jeder von aussen hergehen,
    und in meiner internen domain emails versenden.
    wenn jemand von meiner domain zwei adressen kennt, könnte er von dem einen an den anderen eine email senden.
    und ich weiss nicht ob das so lustig ist wenn jemand mit der emailadresse vom chef eine email an einen anderen mitarbeiter sendet wo z.b kündigung drin steht.

    mfg
    nikfe
  • aber so kann doch jeder von aussen hergehen,
    und in meiner internen domain emails versenden.
    wenn jemand von meiner domain zwei adressen kennt, könnte er von dem einen an den anderen eine email senden.
    und ich weiss nicht ob das so lustig ist wenn jemand mit der emailadresse vom chef eine email an einen anderen mitarbeiter sendet wo z.b kündigung drin steht.

    mfg
    nikfe


    Damit hast du natürlich recht!
  • kann man da nichts dagegen machen?
    kann man nicht telnet port 25 von aussen irgendwie sperren, oder irgendwas anderes?

    mfg
    nikfe
  • kann man da nichts dagegen machen?
    kann man nicht telnet port 25 von aussen irgendwie sperren, oder irgendwas anderes?

    mfg
    nikfe

    Wenn du "telnet port 25" von aussen sperrst empfängst du eben
    keine Mails mehr von extern, da alle Mailserver der Welt quasi
    über "telnet port 25" kommunizieren...
  • ja ich weiss, das wäre nicht von vorteil :-)
    aber bei anderen mailgateways ist das ja auch nicht so.

    nikfe
  • Hallo, SveN,


    Whow, das muss ja ein Teufelsding sein. Es lassen sich keinerlei Verbindungen über irgendeinen Port herstellen und trotzdem tut sich was. Das wäre sowas wie ein Auto ohne Motor das trotzdem fährt.
    Ich denke mal eher das bei dem IPCop die Portscan detection gegriffen hat und deshalb keine offenen Ports angezeigt wurden?


    ich habe mich da falsch ausgedrückt. Mit alle Ports dicht meinte ich natürlich, dass bei einem Portscan von aussen keine offenen Ports bei der IPCOP-FW angezeigt wurden. 

    MfG
    Egbert
  • ja ich weiss, das wäre nicht von vorteil :-)
    aber bei anderen mailgateways ist das ja auch nicht so.
    nikfe

    Also das wäre mir neu. Hast du ein Beispiel?
  • ja man muss ja nur bei irgendeiner emaildomain schaun ob man per telnet port 25 drauf kommt.
    z.b. telnet 88.198.68.108 25, das wäre die Domain klebl.de
    da bekommt man auch keine verbindung.

    nikfe
Reply Children
  • ja man muss ja nur bei irgendeiner emaildomain schaun ob man per telnet port 25 drauf kommt.
    z.b. telnet 88.198.68.108 25, das wäre die Domain klebl.de
    da bekommt man auch keine verbindung.
    nikfe

    Das ist richtig, weil für die Domain klebl.de (IP-Adresse: 88.198.68.108, IP Host: hydra.auctores-consult.de) der MX record lautet:

    MX-Record: mx.noris.net
    MX-IP: 62.128.1.250

    und da kommst du hin...
  • und wieso komme ich dann bei mir drauf?

    mein mx-record: mx1.domain.de zeigt auf meine öffentliche ip,
    stimmt das nicht?

    nikfe
  • Hallo,
    da gibt es für den Kollegen eine einfache Lösung, alle Mails werden ausserhalb der Firma bei einem Provider angenommen und dann per smtp
    der Astaro zugestellt. In diesem Fall kannst Du es so einrichten, das nur noch
    der Vorgelagerte Mailserver mails abliefern kann. Deine Ausgehenden kannst
    Du entweder selbst versenden oder an Deinen Provider zum Versand weiterleiten.
    Das ganze hat schon einigen charme, es kann Dich niemand mit Mails bombarideren. Wenn dies geschieht, landen die erstmal alle beim Provider.
    Der Provider kann zusätzlich die Mails filtern (Virus, SPAM, etc), die Mails
    für eine Woche zwischenspeichern. All das bringt einiges an ruhe in die Firma
    falls mal der interne Kram nicht läuft. Falls es Provider klemmt einfach die
    Astaro annehmen lassen. Zu guter letzt filtert die Astaro nochmals alle
    emails, denn kein scanner erkennt alles und jeder scanner kennzeichnet mit
    einem anderen SPAM Kennzeichen (*SPAM) [SPAM] etc. und falls alle stricke reisen kann man die Mail bequem beim Provider aus dem Postfach nehmen, nachdem sich alle System geweigert hatten.
    Das ganze kostet etwas mehr, aber kein vermögen.

    LG Manfred
  • und wieso komme ich dann bei mir drauf?

    mein mx-record: mx1.domain.de zeigt auf meine öffentliche ip,
    stimmt das nicht?
    nikfe

    Solange der Host der sich hinter mx1.domain.de verbirgt Mails
    für die domain.de Empfängt und intern verteilt ist das richtig.
  • der host mx1.domain.de ist die astaro, ist das falsch?

    nikfe
  • der host mx1.domain.de ist die astaro, ist das falsch?

    nikfe

    nein, das ist richtig.
  • ok also brauch ich mir keine sorgen machen?
  • ok also brauch ich mir keine sorgen machen?

    nein....... deshalb hast du ja ne astaro :-)
  • aber so könnte man mich doch im internen netz zu spamen oder?

    nikfe
  • Den Klebl Mailer hab ja ich konfiguriert!