Mailinglist Archive: opensuse-de (2118 mails)
| < Previous | Next > |
Re: Mailserver - Verständnissfrage zu Versand.....Gelöst
- From: "Dieter Kluenter" <dieter@xxxxxxxxxxxx>
- Date: Thu, 04 Aug 2005 17:32:39 +0200
- Message-id: <8764ul3eg8.fsf@xxxxxxxxxxxx>
Hi,
Sandy Drobic <suse-linux@xxxxxxxxxxxxxxxxxxxxxxx> writes:
> Dieter Kluenter wrote:
[...]
>> Über die Geschichte mit SFW2 bin ich gestolpert, als mich ein
>> Bekannter mit der Mitteilung anrief, T-Online wolle seinen Account
>> sperren, da er ein offenes Relay betreibe. Nachdem ich den
>> Datenverkehr mit tcpdump aufgezeichnet und mit ethereal ausgewertet
>> hatte, fielen mir die maskierten Adressen auf.Dann wurde in main.cf
>> die recipient_restrictions mynetwork herausgenommen und nur
>> noch sasl_authenticated erlaubt, danach war Ruhe und mein Bekannter
>> konnte seinen Account behalten.
>
> Welche IPs sind denn in den Logs des Servers aufgetaucht? Dann müssten
> dort ja ebenfalls die lokale IP des Routers als Client
> erscheinen. Auch die Blacklists müssten dann ins Leere laufen.
Habe ich nicht geprüft, da ich nicht vor der Kiste sass, ich habe
mir nur den Mitschnitt von tcpdump angesehen, der mit per Mail
zugesandt wurde.
> Gut auf jeden Fall, dass du darüber schreibst, dann kann ich das in
> Zukunft im Hinterkopf berücksichtigen, falls ich so einen Fall
> debuggen muss.
>
>> Es handelt sich zwar um preiswerte DSL und WLAN Router, aber ich meine
>> nicht die DMZ-Fähigkeit sondern NAT.
>
> Viele der Hardware-Router verwenden ja auch iptables, daher ist deine
> Erfahrung schon etwas beunruhigend.
>
>>>Port-Forwarding leitet nur die SYN-Pakete weiter, die auf dem Port des
>>>Routers eintreffen, was ja der Sinn der Sache ist. Den Rest der Verbindung
>>>erledigt Stateful Inspection.
>> Etwas anderes habe ich auch nicht behauptet.
>
> Wollte nur sichergehen, dass wir beide von der gleichen Sache
> sprechen. Erklären kann ich mir das eigentlich nur, wenn auf dem
> Router ein SMTP-Proxy läuft, der die Verbindung cached und als
> Mittelmann fungiert.
> So etwas machen aber eigentlich nur gute Firewalls, rätsel...
Ich kann hier nur von dem berichten was ich bei Freunden und Bekannten
gesehen habe. Ich selbst mache nur Portforwarding für zwei
OpenVPN Netze.
Wenn einige Leute also über dyndns oder ähnliche Nameservices im Netz
erreichbar sind, vielleicht sogar noch einen MX Record für ihre dyndns
domain eingerichtet haben, dazu noch Portforwarding auf ihren
Mailserver, dann sollten diese den Traffic im lokalen Netz mal
eingehend prüfen.
-Dieter
--
Dieter Klünter | Systemberatung
http://www.dkluenter.de
GPG Key ID:8EF7B6C6
Sandy Drobic <suse-linux@xxxxxxxxxxxxxxxxxxxxxxx> writes:
> Dieter Kluenter wrote:
[...]
>> Über die Geschichte mit SFW2 bin ich gestolpert, als mich ein
>> Bekannter mit der Mitteilung anrief, T-Online wolle seinen Account
>> sperren, da er ein offenes Relay betreibe. Nachdem ich den
>> Datenverkehr mit tcpdump aufgezeichnet und mit ethereal ausgewertet
>> hatte, fielen mir die maskierten Adressen auf.Dann wurde in main.cf
>> die recipient_restrictions mynetwork herausgenommen und nur
>> noch sasl_authenticated erlaubt, danach war Ruhe und mein Bekannter
>> konnte seinen Account behalten.
>
> Welche IPs sind denn in den Logs des Servers aufgetaucht? Dann müssten
> dort ja ebenfalls die lokale IP des Routers als Client
> erscheinen. Auch die Blacklists müssten dann ins Leere laufen.
Habe ich nicht geprüft, da ich nicht vor der Kiste sass, ich habe
mir nur den Mitschnitt von tcpdump angesehen, der mit per Mail
zugesandt wurde.
> Gut auf jeden Fall, dass du darüber schreibst, dann kann ich das in
> Zukunft im Hinterkopf berücksichtigen, falls ich so einen Fall
> debuggen muss.
>
>> Es handelt sich zwar um preiswerte DSL und WLAN Router, aber ich meine
>> nicht die DMZ-Fähigkeit sondern NAT.
>
> Viele der Hardware-Router verwenden ja auch iptables, daher ist deine
> Erfahrung schon etwas beunruhigend.
>
>>>Port-Forwarding leitet nur die SYN-Pakete weiter, die auf dem Port des
>>>Routers eintreffen, was ja der Sinn der Sache ist. Den Rest der Verbindung
>>>erledigt Stateful Inspection.
>> Etwas anderes habe ich auch nicht behauptet.
>
> Wollte nur sichergehen, dass wir beide von der gleichen Sache
> sprechen. Erklären kann ich mir das eigentlich nur, wenn auf dem
> Router ein SMTP-Proxy läuft, der die Verbindung cached und als
> Mittelmann fungiert.
> So etwas machen aber eigentlich nur gute Firewalls, rätsel...
Ich kann hier nur von dem berichten was ich bei Freunden und Bekannten
gesehen habe. Ich selbst mache nur Portforwarding für zwei
OpenVPN Netze.
Wenn einige Leute also über dyndns oder ähnliche Nameservices im Netz
erreichbar sind, vielleicht sogar noch einen MX Record für ihre dyndns
domain eingerichtet haben, dazu noch Portforwarding auf ihren
Mailserver, dann sollten diese den Traffic im lokalen Netz mal
eingehend prüfen.
-Dieter
--
Dieter Klünter | Systemberatung
http://www.dkluenter.de
GPG Key ID:8EF7B6C6
| < Previous | Next > |