Jump to content

Mailwall+SMTP Server auf einem Rechner


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi!

Habe grad mal folgendes Problem mit Schrecken festgestellt.

 

Hab ne Mailwall Listening auf Port 25 und ein SMTP Programm welches auf Port 7000 die weitergeleiteten Mails von der Mailwall annimmt. Mailwall und SMTP / POP Server auf einer Kiste!

 

Also von Aussen gesehen siehts so aus:

 

INTERNET -> 25 Mailwall -> 8000 SMTP Programm/POP3 -> Client

 

jedoch ist jetzt auch:

 

INTERNET -> 8000 SMTP Programm -> per POP3 auf Client

 

Also kann man jetzt quasi auf die Local Mail Domain mit einer gefakten Local Mail Domain Adresse z.B. daniel@home.at auf daniel2@home.at einfach eine EXE Datei schicken ohne dass die Mailwall hier was checkt ohne weiteres durchkommen bis auf den Client.

 

Sprich gespoofte Mail in Verbindung mit dem Wissen dass 8000 auf SMTP hört = CHAOS?

 

Was kann man hier machen.... Hab nur ne SW-Firewall Sygate (no Budget for other things... leider) und nen Proxy 2 NICs ...

 

Denke mir ich könnte evtl der FW sagen , dass sie auf der NIC die nach aussen zeigt port 8000 sperren soll, da der Port ja nur für die Delivery der Local Mail Domain interessant ist - sprich die Interne nic darf auf 8000 hören und die externe nicht...

 

Dann sollte doch der 8000 von aussen dicht sein oder?

 

*peinlich peinlich*

Link zu diesem Kommentar

hi olaf...

 

nach einigem hin und herüberlegen, kam ich jetzt aber zu folgendem Schluss....

 

wenn ich 8000 auf externer nic z.b. 195.3.80.x bei Incoming sperre, sperre ich dann nicht auch die Möglichkeit Mails von meiner Mailwall an das Port meines Smtp Proggis weiterzugeben?

 

Die Mailwall hat ja als "Send outgoing Messages on" meinen 8000 eingetragen -> Da macht sie dann erst mal local delivery versuch und dann, wenns nix is MX-Records (DNS)

 

Sprich also -> Client sendet -> port 25 -> Mailwall scannt -> Port 8000 -> SMTP/Pop Programm -> Internet (MX-Records)

 

wenn 8000 jetzt dicht is, dann is ja....

 

Client sendet -> Port 25 -> Mailwall scannt -> Port 8000 (FW Blockt) und aus???

 

Huh ich glaub heut ists schon zu spät.. vielleicht denk ich zu kompliziert? :D

 

Interessant wär noch, ob das SMTP Proggi so intelligent ist und auf beiden NICS auf 8000 lauscht dann würds ja gehen, denk ich... werds halt mal probieren morgen...

 

Kennt sich hier noch jemand aus *grins* :suspect:

Link zu diesem Kommentar
Original geschrieben von dg76

wenn ich 8000 auf externer nic z.b. 195.3.80.x bei Incoming sperre, sperre ich dann nicht auch die Möglichkeit Mails von meiner Mailwall an das Port meines Smtp Proggis weiterzugeben?

Denkfehler!

Du sperrst Port 8000 für die externe IP, nicht für die NIC!

Eine FW arbeitet normalerweise anhand von IP-Adressen, so dass localhost (127.0.0.1:8000) offen ist. Klar, du kannst bei den FW-Regeln sogar als paranoider Admin noch die NIC-Nr. mit angeben, aber das darfst du in diesem Bsp. gerade nicht tun.

 

Also muss die Regel lauten:

Verweigere eingehenden Port 8000 auf IP 195.3.80.x

und nicht

Verweigere eingehenden Port 8000 auf NIC_extern

 

Alternativ kannst du auch sagen (oder zusätzlich, dann aber *vor* der o. g. Regel):

Erlaube alles von 127.0.0.1 auf 127.0.0.1

damit ist das Problem auch gelöst.

 

Und falls der MTA mal platt ist... don't worry, SMTP arbeitet nach dem Store-and-Forward-Prinzip, da geht nix so schnell verloren. :)

 

Greetz

Olaf

Link zu diesem Kommentar

hi,

so nun hab ichs glaub ich :o) Allerdings hab ich dabei sicher wieder 1000 Haare gelassen :D Ich hab Regeln definiert und die haben ned gegriffen... (Sygate Platinum).

 

Nun bin ich aber dahinter gekommen, dass der Fingerprint sprich die Applikation Smtp.exe ja bei der Sygate FW auf Erlauben steht, sodass meine zusätzliche Regel anscheinend (obwohl explizit auf diese Applikation angewendet nicht gegriffen hat)

 

Gott sei Dank hab ich dann noch unter Erweiterte Einstellungen (Rechtsklick auf SMTP.EXE) ne Möglichkeit gefunden einen vertrauenswürdigen Adressbereich anzugeben. So und jetzt blockt die FW alles , was nicht in diesem Bereich ist.

 

Naja da fällt mir wieder IP Spoofing ein... hatten wir GSD noch nicht... Aber irgendwie gibts immer was , worüber man sich Sorgen machen kann...

 

Vielen Dank Olaf!!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...