Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

POP3 SSL Live-Protokoll Verständnisfrage ...

Hallo Experten,

ich habe bei meinem ISP einen Standard-Mailserver (Plesk 12.x) der mir einige Postfächer
bereitstellt. Diese werden der POP3 SSL (Port 995) über einen POP3 Downloader (MAPILab)
abgeholt und dann dem im LAN befindlichen Mailserver zugestellt.

Im Sophos Firewall Livelog sehe ich in regelmäßigen Abständen einen Zugriff von dem Server
meines Internet Mailservers auf Port 995 in Richtung External Interface der UTM 9.310-11.
Diese wird mit der Rule "Standard-VERWERFEN" eben verworfen.

1. Warum sendet der Mailserver aus dem Internet scheinbar zum Sophos Mailproxy scheinbar
    Anfragen? Normalerweise erfolgt doch die Abfrage aus dem internen LAN und/oder dem
    Mailproxy (Prefetch aktiviert). Ist mir hier ein Feature vorbeigegangen? 

2. Wie kann ich diese Pakete durchlassen? 
    :995 -> 

    Ich habe so gut wie alle Möglichkeiten wie Firewall Rule, DNAT, 1:1 NAT und was weiß
    ich getestet. - Logisch wie unlogisch, doch es wird stets dieser Zugriff geblockt.

vielen Dank im Voraus!

Michael


This thread was automatically locked due to age.
  • 1.) Was für Packete sind es? TCP, UDP, ICMP? Syn, Ack, Rst? 
    2.) Warum solltest Du das tun? Du holst die Mails doch ab?
  • Hallo K.N.,

    sorry, das Wichtigste vergessen :-) Sind TCP Pakete ...

    Davon bin ich auch ausgegangen, das eine eingehende Regel überhaupt  nicht erforderlich
    ist, da ich ja abhole. Daher ja auch die Frage unter 1. ... was das eigentlich soll? Ich ver-
    mutete, dass dies vielleicht Push Nachrichten vom Mailserver sind. Aber hab bisher nichts
    gefunden. Die Pakete kommen in relativ regelmäßigen Abständen.

    viele Grüße
    Michael
  • Es steht bei, ob es Syn, Ack oder RST sind.
    Bei Syn sind es Anfragen von außen nach innen, die abgelehnt werden.
  • Hallo K.N.,

    ist ein RST ...

    VERWERFEN  TCP    
    ***.***.***.*** :  995
    → 
    192.168.11.254  :  35863
      
    [RST]  len=40  ttl=57  tos=0x00  srcmac=d4:ca:6d:98:18:5e  dstmac=00:30:18:a0[:D]e:10

    ***.***.***.*** = IP des Mailservers im Internet

    Ich hoffe, Du kannst damit etwas anfangen.

    viele Grüße
    Michael
  • Der Server schickt ein RST, der von der geblockt wird. Was nicht direkt tragisch ist, weil die Verbindung von Deiner Seite schon geschlossen wurde. Details könnte man ggf. mit einem tcpdump finden. 
    Die POP3 Verbindungen gehen über NAT oder über den POP3 Proxy nach draußen?
  • Die POP3 Verbindungen gehen über den POP3 Proxy nach draußen.