Linux poort 25 hulp a.u.b.

Black Tiger

Black Tiger

Addicted Member
Administrator
Moderator
Lid sinds
8 feb 2001
Berichten
35.414
Waarderingsscore
1.288
Punten
113
Leeftijd
61
Locatie
State Penitentiary
Dit is een vraagje voor echte linuxkenners.
Langzamerhand begin ik me flink te irriteren aan een kroatisch persoon die op een van de mailservers maar blijft zeiken terwijl ie gewoon geen steek verder komt.
Hier een voorbeeld uit de log:
Sep 15 20:09:52 ns sendmail[15177]: i8FI9po15177: ruleset=check_rcpt, arg1=<sexybookok176@hanmail.net>, relay=[222.101.164.250], reject=550 5.7.1 <sexybookok176@hanmail.net>... Relaying denied. IP name lookup failed [222.101.164.250]

Vrijwel altijd een poging naar dat hanmail.net maar soms ook iets anders.
Zoals jullie kunnen zien is de relay beveiligd dus wat hij wil lukt gewoonweg niet.
Probleem is dat ie dit dus toch elke dag weer probeerd, vaak tientallen keren en het begint me onderhand te vervelen dat ik dit steeds weer terug zie komen in de logs van desbetreffende server.

Is hier iets aan te doen zodat ie meteen geweigerd wordt? Ip blokkeren helpt niet, 2 dagen later is ie weer bezig met een ander ip uit die range.

Misschien is het een oplossing om de beveiliging te gebruiken die softhome.net gebruikt, dus dat je eerst moet "poppen" alvorens dat je smtp gebruiken kunt, maarja, dat lijkt me lastig te implementeren.

Poort 25 is wel smtp en da's uitgaand, maar als ik poort 25 inkomend dicht zet, dan denk ik dat ik geen inkomende mailtjes meer krijg op mijn systeem, correct?

Wat is nu de beste oplossing zodat ik dit figuur niet meer in de logs terug zie? En als dat "pop before smtp" de enige mogelijkheid is, weet iemand hier een beetje een eenvoudige Nederlandstalige uitleg om dat te implementeren?

Betreffende server draait met ipop3s (maarja da's pop3) en als mailserver Sendmail version 8.11.6, config V9/Berkeley als ik webmin mag geloven.:)
 
Originally posted by Black Tiger
Poort 25 is wel smtp en da's uitgaand, maar als ik poort 25 inkomend dicht zet, dan denk ik dat ik geen inkomende mailtjes meer krijg op mijn systeem, correct?
Klik om te vergroten...

Er zit nog een mogelijkheid tussen: poort 25 alleen openzetten voor het ipadres van de geverifieerde mailserver en al het andere verkeer van andere ipadressen wordt dan gebounced.

Rolo
 
Euh.. kun je iets nader uitleggen wat je bedoeld? Want ik zou niet goed weten hoe ik dat voor een mailserver moet gaan openzetten.
Elke mailserver moet bijv. mail naar mijn emailserver kunnen sturen, of dat nu xs4all.nl is of de mailserver van usa.com (ik noem maar iets)... dan zou ik niet weten hoe ik dat zou moeten aanpakken of wat je precies bedoeld.
 
Normaal haal je alle mail op via een popaccount bij je provider of van mailserver<>mailserver via bijv. batched smtp

Bij de laatste optie gaat er van tijd tot tijd een synchronizatie plaatsvinden, lees uitwisseling waardoor de mail over en weer wordt gestuurd. Dit kan getriggered worden met bijv.een helo command of moderner met een mx commando. Dit staat vaak bescheven in de documentatie van je mailserver hoe dat in te stellen is, of zoals in onderstaand geval in de documentatie van je emailfilterprogramma.

Als je in de logs van de firewall kijkt zie je dan dat er van tijd tot verkeer over poort 25 plaatsvindt vanaf de mailserver van de hoster/provider.

Als je de mailserver weet en het ipadres dan kan je in de firewall alle verkeer blocken tenzij het van ipadres xxx.xxx.xxx.xxx komt over poort 25.

Een situatieschets bij een bedrijf:
- interne exchangeserver
- mailchecker mailmarshall (voor spam/virus te blocken) met als relay de interne exchangeserver
- firewall in het adslmodem

De interne exchangeserver verzorgt alle bezorging in de interne postbussen. Externe email gaat door de firewall, door de spam/virus rules en komt terecht in de exchange queu. Andersom gaat de mail die naar extern emailadres moet door de spam/virus rules, komt in de wachtrij terecht en na contact gemaakt te hebben (om de 5 minuten bijv.) middels helo command wordt de mail door de firewall doorgelaten en gedeponeerd bij de smtp server van de provider die het de wereld rondstuurt.

In de firewall van het adslmodem zet je bij de ipfilter regels dat poort 25 alleen open mag vanaf ipadres xxx.xxx.xxx.xxx en mocht het een range zijn bij die provider dan is dat ook daar in te zetten. Je kunt nl. single ip of van/tot van een domein opgeven.

Op zo'n manier is poort 25 ook alleen maar zichtbaar/reactief als er een ping/helo/bezorging email van de provider komt.

Misschien dat zo'n constructie te realiseren valt?

Rolo
 
Nee denk het niet want ik haal niet op want het is een echte mailserver en ook onder linux.
Het adsl modem staat in bridge-mode en de linuxbak verzorgt alle firewalling.

Ik snap het verhaal wel wat je schrijft hoop ik, maar omdat waar ik bedoel een echte mailserver middels sendmail draait, heb je dus een mailserver<->mailserver communicatie.

Dus van buitenaf, naar de eigen mailserver zal ik maar zeggen.
Dat is toch een rechtstreeks gebeuren?
Dus als ik bijv. een mailtje van hp.com ga krijgen, dan gaat de mailserver van hp.com toch rechtstreeks met mijn mailserver communiceren, toch niet via die van mijn provider?
En daar is het probleem.

Net om die reden kun je geen lijst met mailservers gaan maken die verbinding mogen maken want ik wil niet eens weten hoeveel mailservers er alleen in NL zitten, en die zouden in principe allemaal mij mail mogen sturen (geen spam etc. maar je begrijpt wel wat ik bedoel).
Of ik moet iets in je verhaal verkeerd begrepen hebben.

Helaas kan ik ook niets met een winflut voorbeeld, want er draait geen winsux op door mij beheerde servers anders beheer ik ze niet eens.:biggrin:

Hoe dan ook toch alvast weer bedankt voor je tips!

Wat me bijzonder opvalt is dat onze linux-kenners (Big_G en KK) zich bijzonder rustig houden hieromtrent. :)
 
Hallo BT,

Eerst even e.e.a. rechtzetten: Ik ben heeeeeeel druk bezig met 2de kinderkamer en het halve huis verbouwen. Daarnaast is doodstil op het forum, dus ben ik idd niet elke dag meer aanwezig. Die tijd komt wel weer...

Nu je probleem. Rolo heeft het antwoord eigenlijk al gegeven:
Gewoon die hele IP-range op drop zetten in je ipchain.
Dat is de makkelijkste optie.
Poort 25 uitgaand klopt, maar was 110 niet voor POP (inkomend)? Of was dat weer wat anders... ?
Dat zoeken we op...

Enfin, zelfde verhaal.

Dan kan je idd wat rolo zegt je poort dedicated op de SMTP server zetten, en elk ander adres "drop"...

Als je je IPchains goed heb geconfigureerd, heb je van die kroaat geen last meer, die overigens gewoon zelf een progje heeft draaien, om je poort open te breken. (wat hem simpelweg dan niet meer gaat lukken)

G
 
Daarnaast is doodstil op het forum
Klik om te vergroten...
Kan ik niet met je eens zijn, maar da's misschien omdat ik moderator ben en zowat alles lees wat er geschreven is.
Dat je het druk hebt, oke, geldige reden, het zij je vergeven.:biggrin:

Euh... ik dacht dat jij een linux freak was of in elk geval zeer enthousiast erover. En jij werkt nog met zoiets antieks als ipchains? Ik dacht toch dat inmiddels elke zichzelf respecterende linuxliefhebber een kernel van boven 2.4 draaide en dus ook tegenwoordig van iptables gebruik maakt zoals ik.:)

Maar oke, even resumeren.
Poort 110 is voor pop dat klopt, maar daar heb ik ook geen problemen mee. Inkomend zeg je? Ja maar volgens mij alleen als je met een client mail gaat ophalen.
Het mx-adres komt bij mijn weten toch op poort 25 uit, dat is ook de reden dat je geen mailserver meer kon draaien op @home toen die poort 25 dicht knalden.
Poort 110 zit bij @slome niet dicht en voor uitgaand verkeer had altijd nog een ander adres gebruikt kunnen worden.
Bij mijn weten "poppen" mailservers ook niet met andere mailservers waardoor ik de conclusie trek dat alle mailserververkeer, dus ook inkomend, via poort 25 plaats vind. Temeer daar je pop3 ook in secure mode kunt draaien waarbij usernaam en paswoord nodig zijn en een externe mailserver heeft jouw usernamen en paswoords niet dus zou dan ook nooit verbinding met jouw mailserver kunnen maken (in dit geval mijn mailserver).

Dan kan je idd wat rolo zegt je poort dedicated op de SMTP server zetten, en elk ander adres "drop"...
Klik om te vergroten...
Leuk, maar smtp is op zo'n manier ingesteld alleen uitgaand verkeer en da's niet de bedoeling.
Bij mijn weten maken externe mailservers ook contact met mijn poort 25 dus ik heb geen idee hoe ik dit dan dedicated zou moeten zetten.
Verder is Rolo's voorbeeld mooi, maar winsux en daar kan ik niets mee.

Iptables draai ik via een shell (gShield) en daar kan ik helaas geen complete ip ranges mee dicht zetten.
Daarnaast komen er ook wel eens Chinezen.
Als je complete ranges gaat bannen in je iptables, dan krijg je een hele waslijst, dat kost alleen maar ruimte en wat erger is.... geheugen wat uiteindelijk tot langzamere prestaties kan leiden, vandaar dus ook de specifieke vraag voor een andere oplossing dan ip bannen (wat ik zelf al aangaf).

Dus tja, ik zie helaas nog geen oplossing. Ip-ranges bannen is geen optie voor mij, ik wil graag een oplossing waardoor dit soort grappen gewoon onmogelijk wordt gemaakt, dus ook voor anderen.

Dat "pop before mail" of zoiets, dat je eerst poppen moet, dat is dus een goed voorbeeld van zo'n optie, maar ik vraag me af of er niet meer opties zijn.
Vraag me ook sterk af hoe ISP's dit eigenlijk oplossen, kan me niet voorstellen dat die er zoveel last van hebben, of die checken hun logs niet, kan ook.:)

Thanks voor de steun, maar helaas.... ik kan er niets mee.

Toch maar eens zien of KK nog iets te melden heeft.:biggrin:
 
Ook mijn idee is een deny te geven op en range, door niet alle ipadressen uit de reeks in te kloppen, maar zoiets als 222.101.164. zodat de match dus al voor allemaal voldoet in dit klasse C segment.

En dan maar wachten tot spam en openrelaymail door de providers weggeklikkerd mogen worden, voordat ze bij iemand aan komen. Dat scheelt een hoop ellende! (Maar tja, het is ook weer erg lastig om van een open-relay lijst af te komen, als je eens per abuis een config foutje gehad hebt. :()

Maar ik heb het idee dat dit niet helemaal het antwoord is wat je zoekt. Als dat zo is, is waarschijnlijk mijn kennis toch te beperkt, of begrijp ik de vraag niet goed. Let me know!
 
Ipchains, iptables... Je weet wat ik bedoel!

Ik vraag me af: Waar doe jij dit tegen wilen houden? Op je linux server - firewall of je smtp server?
Ik kreeg de indruk dat dit twee verschillende machines waren.

Ik sluit me aan bij KK dat je een bepaald antwoord zoekt wat wij je wellicht niet kunnen bieden. Ik heb geen kennis van Mail en i-net deamons whatsoever. Ik weet iets over beveligingen in het algemeen (en in deze geld: Hoe grover je beveiligd, hoe beter)

Mijn firewall laat alles droppen wat illegale acties op mijn poorten doet. Tenzij aangegeven dat.....
En dat is precies wat ik bedoel! Als die croaat iets wil... Gewoon zijn range laten droppen... Noway dat jij een mailserver moet aanspreken in die range, tenzij je een croatisch webmail account heb ;)

G
 
@BT

Ik dacht dat het zo was, onafhankelijk van welk OS, dat de mailserver waar je in laatste lijn de mail van krijgt, ook van smtp<>smtp server uiteindelijk de server is waar je mee verbonden bent door middel van je Internetverbinding.

Van alle andere smtp servers krijg je dan fout 550, want die relayen niet alle domeinen.

Dus jij hebt je smtp staan op site x, een internetverbinding van provider a, en dan zul je zien dat de enige smtp server waar je mail via kunt versturen die van je provider a is.

In je logfiles kan je volgens mij dat emailtransport zien en welk ipadres die server van je provider heeft.

Je popaccount kan je ook zo via 1 ip adres benaderen en dan vragen te gaan verzenden naar jou ip adres door middel van een helo commando.
Pop is met Helo en smtp met mx.

En zelfs als je heen en weer werkt met smtp<>smptp dan nog heb je maar 2 ipadressen in de mx commands ten hoogste, als bijv de provider met 2 dedicated servers werkt voor in en uitgaand verkeer.

Het lijkt me inderdaad niet zinvol om voor alle emailservers van de wereld ipranges in te gaan geven :)

Rolo
 
Heren,

Ik hoop dat ik mij ook ff in deze discussie mag mengen :)

Is het niet zo dat poorten onder 1024 altijd luisteren? Jullie hebben het over poort 25 uitgaand, maar volgens mij word bij uitgaand verkeer altijd een sessie gestart tussen een uitgaande poort BOVEN 1024 naar een poort op een server ONDER 1024 waar bekende protocollen op draaien, zoals http, ftp, pop en ga zo maar verder.

Ik wil maar zeggen: uitgaand verkeer blokken op welke poort dan ook heeft totaal geen zin volgens mij!!

Please correct me if i'm wrong.....
 
Het lijkt me inderdaad niet zinvol om voor alle emailservers van de wereld ipranges in te gaan geven :)

Rolo [/B]
Klik om te vergroten...

@Rolo: dat lijstje bestaat volgens mij al! Ik heb een tijdje geleden een bericht op webwereld gelezen over Business Internet Trends die, in een poging om spam om zeep te helpen, een server hebben draaien waar je mailservers en bijbehorende ip-adressen kunt checken. Als je zo'n sanity-check kunt uitvoeren is het niet moeilijk meer om verdachte mail te bouncen.

@Allen: ik ben een beetje huiverig om het e-mailadres van de bedenker ervan hier op het board te zetten, maar als je het echt weten wilt, stuur me dan ff een pm, dan krijg je het van me..

Overigens draagt dit totaaaal niet bij aan de oplossing van BT's probleem :-(( Sorry BT...
 
Ik dacht dat het zo was, onafhankelijk van welk OS, dat de mailserver waar je in laatste lijn de mail van krijgt, ook van smtp<>smtp server uiteindelijk de server is waar je mee verbonden bent door middel van je Internetverbinding.

Van alle andere smtp servers krijg je dan fout 550, want die relayen niet alle domeinen
Klik om te vergroten...
Oke, ik snap nu wat je bedoeld. Ja dat is de grote vraag. Is dat wel zo?
Ik kan zowat bij iedereen op poort 25 inloggen en dan een helo geven en dan -proberen- een mail te versturen.
Als de relay dicht staat, kan ik alleen mail sturen naar mensen op dat lokale domein.
Staat ie niet dicht, kan ik overal naar toe, maar dat is dus middels telnet.

Dat is volgens mij ook precies wat die croaat doet, die heeft een utility die gewoon naar mijn poort 25 telnet, daar netjes die verbinding legt en dan probeert te versturen.
Dat lukt hem niet, dat is een feit.
Maar ik wil graag zorgen dat NIEMAND meer op die manier aan die poort 25 kan met -uitzondering- van legale mailservers.

Duidelijker kan ik het niet stellen Big_G en KK, en als jullie dat niet begrijpen, tja duidelijker kan niet.
Heeft een van jullie zich overigens al eens verdiept in het mailserver gebeuren en de communicatie tussen mailservers onderling hoe dat werkt? Zoniet kan ik me wel voorstellen dat het een beetje ingewikkeld klinkt, maar firewalling is niet alles er moeten ook mooiere methodes bestaan.
Oke, het kan zijn dat ik hier een oplossing vraag die niet bestaat, maar daarom stel ik de vraag ook, als dat niet kan, dan houdt het gewoon op, da's ook een optie.

Dan wat betreft het bannen van ipranges. Zou ik inderdaad kunnen doen maar heb al meermaals aangegeven dat ik die optie niet wens te gebruiken.

Probleem is dat ik via gShield werk en niet zelf mijn iptables regels maak, onder andere vanwege het grote gemak waarmee dat nu gaat. Ipranges blokken is (nog) niet mogelijk middels die shell.

Maar als het verhaal van Rolo klopt, dat mail via hops gaat, dus via diverse mailservers, zeg maar te vergelijken met echomail vroeger, dan zou -alle- mail via mijn isp moeten binnen komen en maakt er dus geen enkele mailserver rechtstreeks een connect met mijn mailserver.
Als dat het geval is kan ik eenvoudig aangeven dat alleen die mailserver van de provider een verbinding mag maken met mijn poort 25 en dan is de zaak opgelost. Maar ik heb me zelf daar dus ook nooit zo in verdiept dat ik nu zeker weet of maar 1 mailserver met me connect, of alle mailservers rechtstreeks.
Gezien het relay verhaal kan Rolo's uitleg kloppen, ben alvast heel dankbaar voor de uitleg.

A.u.b. bij reply's NIET meer spreken over uitgaand verkeer en over pop3, want dat verward alleen maar, temeer omdat die dingen niet aan de orde zij want daar zit het probleem niet.
Het gaat hier zuiver om mailserver<->mailserver connecties.

Rolo, ik ga in elk geval die maillogs eens uitspitten en zien welke mailservers er allemaal verbinding met me maken.
Als dat steeds dezelfde is of een paar dezelfden, dan weet ik genoeg.

Alvast weer allemaal heel hartelijk dank voor het meedenken.
 
Okido! Het probleem is mij nu duidelijk. Ik heb er geen antwoord op, maar de vraag neem ik wel mee in gedachte. Te meer omdat ik binnenkort nog lekker met mailservers ga stoeien. Figuurlijk dus, dat stoeien.

Dus met een beetje geluk, kom ik dan meer interesante info tegen om te kunnen gebruiken.
 
Ik meende de oplossing al gepost te hebben, maar bleek niet... Ik had hem alleen maar gedacht :(

Fout 550 is trouwens toch authentication faild?
Whatever ;)


Ik moet even kijken hoe het moet, maar je kan IPchains en IPtables ook andersom gebruiken:

If smtpdieikwil dan pass ifelse dan drop!

Pfff.... Ergen in een scriptje...

Wat ik je graag wil vragen is of je mij even wilt "hacken". Kan jij bijmij met telnet aanloggen op 25?
Als het goed is heb je mijn IP (gelogd staan) maar ik stuur hem ook ff op via pm.

G
 
Oke ik ga even proberen.

Het lijkt mij inderdaad ook mogelijk. Ik kan een poort openzetten per ip, dus zou kunnen zeggen van if ip=mailserver van provider dan oke, en rest drop.

Ga gelijk even proberen bij je. :)

Vooropgesteld dat er maar 1 mailserver met me contact maakt zou het probleem op die manier op te lossen te zijn met wat geluk en zou Rolo een super tip gegeven hebben.
 
Getest... dikke neus dus, kom er niet op.

Maar jij hebt dus ook een eigen mailserver draaien, krijg je nu wel nog mailtjes binnen van anderen?

Zoja, dan zijn we ver genoeg.:)
De zeur had trouwens weer een nieuw ip dus ik zag 'm weer verschijnen in de log vanmorgen, deze keer maar 8 pogingen. Ik snap niet hoe iemand zo lame kan zijn om iets te blijven proberen waarvan je weet dat het toch niet lukt.
 
De firewall die ik heb draaien is gewoon de standaard firewall in suse. Hij draait 100% in stealth mode.
Mogelijke aanvallen waar jij over praat heb ik geen erg in. Maar dat heeft ook te maken dat ik de log niet ga doorspitten ;) (jaja, ik zou dat wel moeten doen).

Eens in de maand / 2 maanden loop ik mijn systeem na, ook op beveiligingslekken etc. Al zou ik iemand zien die om de haverklap probeert aan te loggen, wens ik hem suc6.
Idd, lukt het me prima om alles te ontvangen etc. Het enige waar ik "problemen" mee heb (ik moet zeggen dat ik er nog niet echt naar gekeken heb) is het verzenden van bestanden naar de nieuwe versie van MSN. Die werkt niet typisch met 1 poort, maar switched steeds.

Enfin,

Ik zal eens kijken of ik mijn firewall in rpm naar je toekan sturen....
(ik beloof niets, maar probeer het vanavond)

G
 
Euh nee, geen rpm a.u.b. die installeert zich, ik heb een firewall, als ik weet wat ik moet afsluiten ben ik ook ver genoeg.:)

Ik draai op alle systemen RedHat vanaf 7.2 tot 9.0 ofzoiets.

Even terugkomend op msn
Die werkt niet typisch met 1 poort, maar switched steeds.
Klik om te vergroten...
Nja, dat zal wel zijn omdat 6.2 weer meer in het uPnP geintegreerd zit, je zal er ook wel geen geluid op hebben, wel?
Bij mijn weten wordt uPnP nog niet ondersteund door Linux en daarom ook geen geluid. Zou goed kunnen dat ze met die 6.2 versie hetzelfde of iets soortgelijks zijn gaan toepassen voor dataoverdracht.

Maarja, ik zit er niet zo mee, met icq heb je hetzelfde probleem, daar werkt dat wel over exacte poorten maar als je beiden achter een firewall zit, ook al staan die poorten open, dan wil ie toch niet connecten de zeur.:)
 
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer



Oliebollen Hosting Fun Oliebollen

SPECIALE SERVICE

  » Fun op Twitter
  » Fun op Facebook
  » Image hosting
  » Internet Radio

Advertenties

Terug
Bovenaan Onderaan