pop3 und SMTP Freigabe

Hallo Andreas

ok - dann fangen wir mal an:
1) Du benutzt Outlook als Mail-Client.
2) Du hast ein Mail-Konto bei einem beliebigen Anbieter (GMX, YAHOO, ...).
3) Dein Postfach bei Anbieter XY spricht POP3 und SMTP.
4) Ohne die Astaro läuft das Mailgeschäft tadellos.

Wenn das alles passt, dann sag kurz bescheid, dann können wir weitermachen. Falls nicht, dann beschrib doch bitte mal etwas genauer, wo dein Problem liegt.

Gruß Stefan

Das hört sich gut an! Danke!!
1) Du benutzt Outlook als Mail-Client. ja, Version 2007
2) Du hast ein Mail-Konto bei einem beliebigen Anbieter (GMX, YAHOO, ...).ja, bei Strato
3) Dein Postfach bei Anbieter XY spricht POP3 und SMTP.Ja
4) Ohne die Astaro läuft das Mailgeschäft tadellos.Ja

Danke
Andreas

Hello,

normalerweise ist die Astaro für den Email Verkehr (bzw. für Outlook Clients)[:)] fast vorkonfiguriert sprich man muss nur noch den POP3 Proxy aktivieren das interne Netz zu den Allow Networks hinzufügen und fertig.
Die iptables Rule ( Paket Filter ) ist schon vorhanden die da aussieht
Source  -> Internal Interface ( Network )
Service -> Email Messaging (alle notwendigen Email Protokolle in einer Group)
Destination -> any
mehr Options folgen bei weiteren konfigurationen innerhalb des pop3 proxys, Scan Engine, Art etc fast selbserklärend.

Etwas anders siehts bei Domaingroups sowie eigene Mailserver in der dmz aus,
da kommt dann der smtp proxy ins spiel.
[8-)]
Hoffe das hilft etwas !!

Hi Andreas

also - Standard - das ist ganz einfach:

Im einfachsten Fall machst du einfach machst du einfach die beiden Ports für POP3 und SMTP auf für die jeweiligen Zielsysteme bei Strato und erlaubst deinem Client den Zugriff darauf. Du muß ein Masquerading haben, die beiden Paket-Filter Regeln und schon sollte dein Outlook wieder POP3 und SMTP mit seinem Postfach bei Strato reden können.

Dabei haben wir aber nix gewonnen - die Astaro kann mehr (Anti-Virus, Anti-Spam). Wenn du die Features der Astaro nutzen willst, muß du den POP3 Proxy nutzen.

Also reden wir jetzt erstmal über eingehende Mails via POP3
(die oben genannte Regel für POP3 kannst du wieder abschalten - wir erlauben nur dem Proxy POP3 zugriffe und das konfigurieren wir gleich, das reicht)
Mail Security -> POP3 proxy einschalten
Allowed Networks eintragen (also dein internes Netz bzw. deinen Client)
Jetzt kannst du den ganzen Zauber konfigurieren und deine eingehenden Mails werden auf Viren und SPAM geprüft (funktioniert super)

Eine kleine Anmerkung noch zu dem Thema:
Wenn eine via POP3 empfangenen Mail in der Quarantäne landet, kannst du sie leider nicht so einfach via Knopfdruck releasen. Du mußt sie dir aus der Quarantäne herunterladen und kannst sie dann öffnen.

So und jetzt zum Thema ausgehende Mails via SMTP.
Hier würde ich garnichts machen, sondern einfach nur deinem Client erlauben, den SMTP-Server bei Strato via SMTP zu kontaktieren - wie oben beschrieben.

Ob und wie man ausgehende Mails mit dem SMTP-Proxy - keine Ahnung. Der SMTP-Proxy ist eigentlich ein Proxy für einen MailServer (Exchange oder so) im Internen Netz und für eingehende und ausgehende Mails via SMTP vorgesehen (aber auch der Funktioniert tadellos).

Aber jetzt einen eigenen MailServer einrichten nur um die ausgehenden Mails auf SPAM und Viren zu prüfen ...

Ich hoffe, das hilft und wenn nicht, einfach nochmal Nachfragen.

Gruß Stefan

Bei der ganzen Problematik hier frage ich mich aber ganz ernsthaft:

Wer macht heute noch unverschlüsseltes POP3? Leider kann der POP3-Proxy der Astaro aber nur unverschlüsseltes POP3, d. h. wer den wirklich einsetzen will, schickt zwangsläufig seine Passwörter im Klartext übers Internet.

Solange der POP3-Proxy nicht auch SSL/TLS-fähig wird wie der HTTP-Proxy, ist er in meinen Augen unbrauchbar.

Outlook ist also so zu konfigurieren, dass POP3 per SSL oder TLS abgeholt wird und im Paketfilter sind die entsprechenden Ports freizuschalten, ganz einfach. Welche Ports das im einzelnen sind, kann man entweder im E-Mail-Client sehen oder aber im Paket-Filter-Log ermitteln.

MfG
Manuel

Hello,

Astaro POP3 Proxy unbrauchbar[:@] solange ich mit OpenPGP oder S/Mime meine Emails verschlüssele, oder einen POP Server habe der "APOP" Kommandos implementiert hat, hab ich meine Sicherheit wenn ich diese für meinen privaten email verkehr überhaupt benötige, dafür brauch ich nicht unbedingt 995 nutzen.

P.S. BSI brauch ich in der Arbeit nicht zuhause [:D]

Hi Stefan,
also den pop3 proxy habe ich eingeschalten und für SMTP habe ich die entsprechende Regel freigegeben. Es geht aber immer noch kein einziges Email raus oder rein.... Was könnte ich falsch gemacht haben?

Danke
Andreas

Hi

na gut, dann müssen wir eben wieder von vorne anfangen.

1) Installiere deinen Mail-Client, das er ohne die Astaro funktioniert.
(Diese Einstellungen mußt / darfst du nicht mehr ändern - der POP3 Proxy läuft transparent)

2) Auf der Astaro ein Masquerading einrichten und die beiden Regeln für POP3 und SMTP einrichten. Erst wenn das funktioniert kümmern wir uns um den Proxy.
(Wenn das funktioniert bist du mit dem Thema Mails verschicken fertig)

3) Den POP3 Proxy einschalten und deinem Client erlauben, diesen zu nutzen.
- fertig

Gruß Stefan

Ahoi Stefan,
1) Outlook 2007 funktioniert ohne ASG ohne Probleme.
2) Masquerading siehe Anhang
3) Regeln für POP3 und SMTP siehe Anhang

Was Stimmt hier nicht?

Gruß
Andreas

Die Paketfilterregeln sollten alle mit 'Any' statt 'External (WAN) Network' eingerichtet worden.  Danach müßte es klappen.

MfG - Bob

This unique software pack can EVERYTHING. 

 + mass post threads and messages on forums, blogs, guestbooks, boards, bulletins 
 + mass send PM (personal messages) to ALL users on thouthands forums simultaneously (multi-threading) 
 + automatically register e-mail accounts on GMAIL.Com and other email services 
 + automatically break CAPTCHAs - you see, this forum has captcha on registering, but it's was breaked [[;)]] 
 + automatically break text captchas as "2+2=?", "what color is sky?" etc.
 + have a lot of tools for links databases processing and analysing 
 + automatically confirm all links from e-mail account 
 + built-in "question-answer" system, mass post-editing system 
 + a lot of other features 
[/b] 

Name of this program - XRumer 5.0 Palladium
Not XRunner, not XRoomer, not xrumer - but XRumer.

(versions XRumer 2.9 and XRumer 3.0 are too old)


Just ask Google! [[;)]]

Was Stimmt hier nicht?

Wie Bob schon schrieb, darf bei der NAT-Maskierungs-Regeln nicht das "External (WAN)"-Objekt verwendet werden. Schau doch mal im Bereich "Definitionen -> Networks" nach diesem Objekt, dann sieht Du, welches Netz sich dahinter verbirgt. D. h. nur wenn Du Pakete in dieses (wahrscheinlich sehr kleine) Netz verschickst, greift Deine NAT-Maskeirungs-Regel, aber leider nicht bei allen anderen Paketen Richtung Internet.

Du kannst das vordefinierte Any-Objekt verwenden, ich nehme für solche Fälle aber gerne ein selbst definiertes Any-Objektiv, dass an das externe Interface gefunden ist:

Name: Any (Internet)
Type: Network
Address: 0.0.0.0
Interface: externes Interface Richtung Internet auswählen
Netmask: /0 (0.0.0.0)

Damit ist sichergestellt, dass wirklich alle Pakete, die von irgendwelchen internen Rechnern kommen (egal welches Interface und welches Routing-Netz, falls Du mehrere verwendest) und über das externe Interface gehen, über diese NAT-Maskierungs-Regel entsprechend geändert werden.

Solchen Konfigurations-Fehlern, gerade rund um NAT, kann man sehr schnell auf die Schliche kommen, wenn man auf der Kommandozeile der Astaro mittels tcpdump die Pakete am externen Interface überprüft...

MfG
Manuel

Was Stimmt hier nicht?

Wie Bob schon schrieb, darf bei der NAT-Maskierungs-Regeln nicht das "External (WAN)"-Objekt verwendet werden. Schau doch mal im Bereich "Definitionen -> Networks" nach diesem Objekt, dann sieht Du, welches Netz sich dahinter verbirgt. D. h. nur wenn Du Pakete in dieses (wahrscheinlich sehr kleine) Netz verschickst, greift Deine NAT-Maskeirungs-Regel, aber leider nicht bei allen anderen Paketen Richtung Internet.

Du kannst das vordefinierte Any-Objekt verwenden, ich nehme für solche Fälle aber gerne ein selbst definiertes Any-Objektiv, dass an das externe Interface gefunden ist:

Name: Any (Internet)
Type: Network
Address: 0.0.0.0
Interface: externes Interface Richtung Internet auswählen
Netmask: /0 (0.0.0.0)

Damit ist sichergestellt, dass wirklich alle Pakete, die von irgendwelchen internen Rechnern kommen (egal welches Interface und welches Routing-Netz, falls Du mehrere verwendest) und über das externe Interface gehen, über diese NAT-Maskierungs-Regel entsprechend geändert werden.

Solchen Konfigurations-Fehlern, gerade rund um NAT, kann man sehr schnell auf die Schliche kommen, wenn man auf der Kommandozeile der Astaro mittels tcpdump die Pakete am externen Interface überprüft...

MfG
Manuel

habe alles wie von euch beschrieben umgestellt. Outlook verweigert immer noch seinen Dienst, Servername im Netzwerk nicht gefunden....
Das Ergebnis von tcpdump sagt mir leider nichts (Anfänger!).

Bisher funktionierren nur Skype und Internet. Kann das alles mit meinem Kabelmodem zusammen hängen?




PS: Kommt niemand aus dem Raum Stuttgart? Ich bin mir sicher man könnte sich bei einem Hausbesuch einig werden [;)]

Hi

nene - das hat nix mit deinem Kabelmodem zu tun. Deine Paketfilter Regeln gefallen mir nicht.

Das Masqerading ist in Ordnung - alles was vom Internal Netzwerk kommt und nach draußen will bekommt die "offizielle" IP-Adresse von deinem  "External (WAN)" Interface. Auf diesem Interface sollte natürlich auch eine "öffentliche IP-Adresse" sein.

Bei den Paketfilter Regeln würde ich bei allen Regeln als Ziel ANY eintragen.
Internal -> ANY - DNS
Internal -> ANY - Terminal Applications
Internal -> ANY - Instant Messaging
u.s.w.

Jetzt kommen wir vermutlich zum Problem: DNS

Ich würde die erste Regel weglassen und nur der Astao erlauben DNS anfragen an den Nameserver deines Providers zu stellen und alle intern angeschlossenen Geräte so konfigurieren, das sie als DNS-Server die Astaro fragen.

Das Problem ist vermutlich, das die Astaro selbst den Namen nicht auflösen kann, weil sie keinen Nameserver kennt.

Unter Network - DNS trägst du bitte ein bei Allowed Networks dein internes Netz ein und bei Network - DNS - Forwarders kannst die die Nameserver deines Providers eintragen. Dann kann die Astaro für dein internes Netz auch den Nameserver-Cache realisieren.

Vermutlich reicht es schon, wenn du nur die Forwarders einträgst, damit die Astaro selbst die Namen auflösen kann - dann mußt du aber die erste Regel drin lassen, damit auch dein interes Netz auf DNS Anfragen eine Antwort bekommt.

Testen kannst du das unter Support - Tools - Ping Check
hier z.B. "www.heise.de" eintragen und start klicken.
Wenn die Astaro den Namen auflösen kann, dann sollte auch eine Antwort kommen und dein POP3 Porxy sollte dann auch eine Antwort auf seine DNS-Anfrage bekommen.

Gruß Stefan

sorry das ich da "hart" nachfasse, aber nicht nur "..wuerde ich ANY eintragen..", sondern MUSS - alternativ die jeweiligen konkreten Zielserver...
der aktuelle eintrag "WAN Network" erlaubt zugriff auf die zugewiesene public range, und da werden sich mit sicherheit vielleicht noch ein DNS, aber kein email oder aehnlicher server erreichen lassen!!
gruss

@Stefan, sorry was ist ein "Nameserver deines Providers " (ich bin bei KabelBw und Email ist bei 1blue)? und was meinst du mir "Forwarders  einträgst"?
Danke
Andreas

Hi

Also erstmal - jeder Provider muß dir eine offizielle IP-Nummer zur Verfügung stellen und er muß dir erlauben, auf einen Nameserver zuzugreifen - sonst wird das nix mit Google [;)]

Ich bin bei Unitymedia und da bekommt mein Kabelmodem via DHCP von Unitymedia eine Offizielle IP-Nummer und das Kabelmodem bekommt (auch via DHCP) noch mitgeteilt, welche Nameserver es fragen darf.

Danach verteilt mein Kabelmodem im intenen Netz seine eigenen IP-Nummern und nutzt sich selbst als Cache-Nameserver. D.h. Router und Nameserver in meinem internen Netz haben die selbe IP-Nummer.

Damit es funktioniert braucht jedes Gerät im Netz die Information, welche IP-Nummer es hat, wer DefaultGateway ist und wer NameServer ist - diese Information benötigt auch die Astaro, sonst kann sie den Namen von deinem POP3-Postfachanbieter nicht auflösen und kann dann natürlich auch keine Verbindung herstellen (wie auch, wenn sie nicht weiß wohin).

Also - deinen Endgeräten sagst du - Nameserver ist die Astaro und der Astaro sagst du (das sind die Forwarder), Nameserver ist dein Kabelmodem und dein Kabelmodem fragt dann am Ende natürlich die Nameserver deines Providers.

Das sind aber sehr grundsätzliche Dinge zum Thema DNS.

Wie gesagt - teste mal, ob die Astaro selbst die Namensauflösung hinbekomt. Selbst wenn du via PF-Regeln deinen Clients erlaubt hast DNS-Anfragen zu stellen bedeutet das noch lange nicht, das auch die Astaro selbst DNS-Namen auflösen kann/darf. An der Stelle ist sie auch nur ein Endgeräte (HOST) wie alle anderen TCP/IP Endgeräte auch.

Gruß Stefan

Hello,
noch als kleiner zusatz thema dns, die astaro selber führt zwar named aus ist allerdings ein dns-proxy und fängt dns anfragen an port 53 (protokoll udp) ab und leitet diese an deine isp namenserver weiter die wiederum wohl bemerkt automatisch zugewiesen werden, das sind dann für die astaro die dns-forwarder, die du auch manuell erfassen kannst allerdings spielt das erst eine rolle wenn du selber z.b. ein bind oder ms dns aufsetzt der deine zonen verwaltet(beispiel meinhomenet.local). 
mit dns steht und fällt das internet und sogar microsofts ads[H]

ich habe das Problem mit einer ausschreibung bei myhammer und per remote-dekstop gelöst! Kann ich nur empfehlen...
Problem waren einzig allein die Netzwerkeinstellungen des Host-rechners.
Danke an alle!
Gruß
Andreas