Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 3462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Blocking auf WAN Network

DaPedda

Hallo Community,

ich bitte Euch um Hilfe bei folgendem Problem:

da wir an einem bestimmten Postfach ein erhöhtes SPAM Vorkommen haben und das mit der Email Protection nicht geregelt bekommen, bin ich dazu übergegangen, die Sender anhand der IP und später als Netz in der Network Protection zu sperren.

Meine Regel schaut wie folgt aus:

Die zwei WAN Adressen sind gleichzeitig unsere MX

Die zwei /24er Netze sind zwei von denen, wo die meisten Sender her kommen.

Schau ich nun im SMTP Protokoll, dann sehe ich, das die 103.186.116.237 zugestellt hat, also die Pakete nicht verworfen wurden.

Bitte, wo ist mein Denkfehler? Vielleicht sehe ich vor lauter Bäume den Wald nicht mehr.

Viele Grüße,

Peter



This thread was automatically locked due to age.
Parents
  • 0

    Halo  ,

    Vielen Dank, dass Sie sich an die Community gewandt haben. Ich würde vorschlagen, die Ländersperre zu verwenden, da die folgenden IPs zu Malaysia gehören.

     

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Technical Support, Global Customer Experience

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case  | Security Advisories 
    Compare Sophos next-gen Firewall | Fortune Favors the prepared
    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Hallo Vivek,
    das habe ich tatsächlich nach diesem Post auch gemacht. Es mag für die kleinen Länder funktionieren, wo wir keine Kundenbeziehungen haben. Aber wenn Österreichische Versender auftreten, habe ich ein Problem.

    Nehmen wir mal 176.96.103.36, versendet aus AT SPAM. Gehört zu AS8649 ZeXoTeK IT-Services GmbH  mit 176.96.96.0/19
    Dieses Netz möchte ich sperren. Den Eintrag dazu findet man im Screenshot. Die Regel greift aber nicht und ich verstehe nicht, warum. Das Paket müsste doch schon an die externe Karte abgewiesen werden. Aber ich habe es auch schon mal mit unseren internen Netzen versucht, ging auch nicht.


    Viele Grüße,

    Peter

  • 0 in reply to DaPedda

    Nun, aus der Geoip-Datenbank kann ich das Netzwerk sehen und die IP gehört zu - Österreich, Ausgabe unten:

    # geoiplookup 176.96.103.36
    GeoIP Country Edition: AT, Austria
     # geoiplookup 176.96.96.0
    GeoIP Country Edition: AT, Austria

    Ich sehe im Screenshot, dass Sie eine Ablehnung/Sperre erstellt haben.
    Können Sie in den Paketfilter.logs nachsehen und die IP/das Netzwerk filtern, um zu sehen, ob der Datenverkehr zugelassen oder blockiert wird?

    B. - tail -f /var/log/packetfilter.log | grep <src_IP>

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Technical Support, Global Customer Experience

    Log a Support Case | Sophos Service Guide
    Best Practices – Support Case  | Security Advisories 
    Compare Sophos next-gen Firewall | Fortune Favors the prepared
    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Nach der IP zu suchen war erfolglos. Ich habe aber im Weblog nach fwrule="7" gesucht und wurde heute fündig: eine IP 51.158.145.144 (passt zum Netzwerk im Screenshot) mit dem einem Destination Port 5070 / app=445

    Sonst nix. weder heute, gestern oder die ganze Woche. Dafür haben aber heute wieder zwei Sender zugestellt, aus den Netzen 176.96.96.0/19 und 104.148.89.0/24. Beide tauchen im packetfilter.log nicht auf

    Ich frage mich langsam, ob die Netzwerkdefinition von mir richtig angelegt worden sind.

    Edit: ein Kollege hat einen Tip gegeben: zu Hause hat er eine UTM Home Edition. Dort sollten IoT Geräte nicht nach draussen. Allerdings hatte er den Webproxy am laufen, so das die Regeln nicht gegriffen haben. Hat er den Proxy ausgeschaltet, funktionierten die Regeln. Ist es möglich, das das Modul Email Protection dazwischen funkt? Denn wie oben beschrieben, scheint die Regel für sich alleine ja zu funktionieren.

Reply
  • 0 in reply to Vivek Jagad

    Nach der IP zu suchen war erfolglos. Ich habe aber im Weblog nach fwrule="7" gesucht und wurde heute fündig: eine IP 51.158.145.144 (passt zum Netzwerk im Screenshot) mit dem einem Destination Port 5070 / app=445

    Sonst nix. weder heute, gestern oder die ganze Woche. Dafür haben aber heute wieder zwei Sender zugestellt, aus den Netzen 176.96.96.0/19 und 104.148.89.0/24. Beide tauchen im packetfilter.log nicht auf

    Ich frage mich langsam, ob die Netzwerkdefinition von mir richtig angelegt worden sind.

    Edit: ein Kollege hat einen Tip gegeben: zu Hause hat er eine UTM Home Edition. Dort sollten IoT Geräte nicht nach draussen. Allerdings hatte er den Webproxy am laufen, so das die Regeln nicht gegriffen haben. Hat er den Proxy ausgeschaltet, funktionierten die Regeln. Ist es möglich, das das Modul Email Protection dazwischen funkt? Denn wie oben beschrieben, scheint die Regel für sich alleine ja zu funktionieren.

Children
Unfiltered HTML