This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

E-Mails von extern nach extern per Authentifiziertes Relaying

Hallo zusammen,

wir versenden optional zum Exchange per "Hostbasiertes Relay" (was auch super klappt) Mails per "Authentifiziertes Relaying". Das ist erforderlich da wir unter anderem eine Cloud-Software verwenden die Mails nur an div. E-Mail Dienste (outlook.com, gmx und co) senden kann oder per SMTP an einen eigenen Server. Da ich unseren Exchange hierfür nicht umkonfigurieren wollte, habe ich kurzerhand das ganze wie folgt über die UTM gelöst:

- "Authentifiziertes Relaying" zulassen = AN
- "Authentifiziertes Relay" = vorab angelegten localen Benutzer eingetragen.

"Upstream-Host-Liste" = nicht konfiguriert

"Hostbasiertes Relay" = unser Exchange

"Host-/Netzwerk-Blacklist" = nicht konfiguriert

Alles funktionierte bisher einwandfrei... Nun aber zum Problem, seit einigen Tagen haben wir diverse Loginversuche da das Relay per Portscann erkennbar ist. Das führte sogar dazu, dass diverse AD-Benutzer gesperrt wurden da zu viele fehlerhaften Loginversuche. Daraufhin habe ich erstmal "Erraten von Kennwörtern blockieren" für "smtp-Proxy" konfiguriert damit die Anmeldeversuche auf ein Minimum zurückgehalten und das keine AD-Konten gesperrt werden.

Weiterhin habe ich probiert mittels "Nur Upstream/Relay-Hosts zulassen" nur die HOSTS von der Cloud Anwendung anzugeben. Zuerst dachte ich das wär die Lösung aber leider greift diese Funktion nicht nur in Kombination mit dem "Authentifiziertes Relaying" sonder global und wir bekommen nur noch Mails von der Cloud Anwendung.

"Blockierte Hosts/Netzwerke" bringen mich nicht weiter da die Anmeldeversuche immer wieder von anderen IPs kommen.

Ich suche händeringend einen Lösungsansatz für die Absicherung vom Authentifizierten Relay, so dass dieses nur von bestimmten IPs möglich ist. Alternativ dass die Authentifizierung nur von bestimmten IPs aus möglich ist.

Über eure Hilfe würde ich mich sehr freuen.

Viele Grüße



This thread was automatically locked due to age.
Parents
  • Hallo,

    wenn ich das richtig verstehe, dann habt ihr einen Server mit einer public IP, die nicht wechselt. Warum dann nicht diese IP in das Feld "Hostbasiertes Relay" eintragen? Dann darf dieser Host per SMTP Mails auf eure Sophos Firewall einliefern.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo und vielen Dank für die schnelle Rückmeldung..

    Ja die Cloudbasierte Anwendung hat extern eine feste IP.

    Leider funktionier das "Hostbasiertes Relay" nicht mit einer Authentifizierung die ich für die Cloud-Software benötige.

  • Welche Auth nutzt die Cloud-Software denn?

  • Hallo,

    vielleicht reden wir hier aneinander vorbei: das "Host-Based Relay" benötigt gar keine Authentifizierung, da es sich auf die Hosteinträge in der Liste bezieht. Es ist ausreichend für eine erfolgreiche SMTP-Verbindung, wenn die Session von der richtigen Adresse kommt. Daher sollte man das auch gezielt und sparsam einsetzen und keinesfalls ganze Netze freischalten.

    Ich bin davon ausgegangen, das die Anwendung AUF dem Cloudserver selbst eine Mail erzeugt und VON dort gesendet werden soll.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    wie  "Host-Based Relay" funktioniert ist mir bekannt ABER:  

     - Die erzeugte E-Mail von der Cloud-Anwendung wird sporadisch von unterschiedlichen IPs geschickt (habe bis jetzt 9 Stück erkannt).   

     - Der Mailversand in der Cloud-Anwendung ist ausschließlich per Authentifizierung möglich:

    Eine Authentifizierung ist leider nötig.  ;-(  Anderenfalls wär die das "Host-Based Relay" perfekt geeignet. Optima wäre es wenn man in Kombination mit "Authentifiziertes Relay" auch Hosts angeben könnte.

    Viele Grüße

  • was kann denn bei "SMTP-Ausgangsserver / Verschlüsselung / Port" noch ausgewählt werden?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    das hier sind die Mussangaben bei der Cloud-Anwendung für SMTP. Gebe ich keinen Benutzer und Kennwort  an (in Verbindung mit dem an  "Host-Based Relay"), kann die Anwendung keine Mail senden. Auf der UTM kommt dann auch erst gar nichts an:

    Gruß

  • Bitte mal das Dropdown-Feld "Verschlüsselung" in der Listenansicht zeigen.

    Ich glaube, diese Nuss knacken wir.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Nichts weiter, nur das was im Screenshot zu sehen ist !

  • OK - du brauchst eine Kombination aus veschiedenen Einstellungen:

    Bitte einmal folgendes in der Email-Protection eintragen und testen:

    1. Unter "SMTP / Upstream hosts/Networks" die IP-Adressen der Cloudserver, die ihr nutzt. (alle Server-Instanzen)

    Den Haken bei "Allow upstream hosts/relay only" weglassen. Dies schaltet die Ports 465 und 587 nur für diese externen IP-Adressen frei. Der SMTP-Port 25 ist immer offen, da hier immer eingeliefert werden darf, sobald man Email-protection nutzt.

    2. Dann "Authenticated Relay" konfigurieren: Bei "Allow authenticated relaying" Haken setzen und einen User lokal auf der Sophos anlegen, mit dem sich der Cloudserver hier anmelden kann. Diesen User im Konfigurations-Fomular auf dem Cloudserver angeben.

    3. Bei "Host-based Relay" unter "Allowed Hosts/Networks" die IP-Adressen eurer Cloudserver hinterlegen (einzeln)

    Dann sollte es gehen.

    Achso: ob dann STARTTLS/587 oder SSL/465 funktioniert, muss man einfach ausprobieren.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • OK - du brauchst eine Kombination aus veschiedenen Einstellungen:

    Bitte einmal folgendes in der Email-Protection eintragen und testen:

    1. Unter "SMTP / Upstream hosts/Networks" die IP-Adressen der Cloudserver, die ihr nutzt. (alle Server-Instanzen)

    Den Haken bei "Allow upstream hosts/relay only" weglassen. Dies schaltet die Ports 465 und 587 nur für diese externen IP-Adressen frei. Der SMTP-Port 25 ist immer offen, da hier immer eingeliefert werden darf, sobald man Email-protection nutzt.

    2. Dann "Authenticated Relay" konfigurieren: Bei "Allow authenticated relaying" Haken setzen und einen User lokal auf der Sophos anlegen, mit dem sich der Cloudserver hier anmelden kann. Diesen User im Konfigurations-Fomular auf dem Cloudserver angeben.

    3. Bei "Host-based Relay" unter "Allowed Hosts/Networks" die IP-Adressen eurer Cloudserver hinterlegen (einzeln)

    Dann sollte es gehen.

    Achso: ob dann STARTTLS/587 oder SSL/465 funktioniert, muss man einfach ausprobieren.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  • Das klappt leider nicht. Hier mal der IST-Stand wie ich es aktuell nutze:

    ..und wie die Einrichtung aussieht nach deiner Vorgabe:

    ...ERGEBNIS: Weiterhin unzählige Anmeldeversuche:

    Das einzige was scheinbar funktionier, ist wenn "SMTP / Upstream hosts/Networks" inkl. "Allow upstream hosts/relay only" auf aktiv setzt. Dann kommen logischerweise nur noch Mails von den angegebenen Srv an was ja auch nicht zielführend ist.

    Hatte auch schon probiert die nervigen Hosts mal mittels "Host-/Netzwerk-Blacklist" zu blockieren. Diese Funktion scheint aber nicht zu greifen da keine Veränderung.

    Nur zur Info, die UTM ist up-to-date!

    Besten Dank und viele Grüße