Vraag

Internet wederom geblokkeerd vanwege veel mailverkeer

  • 14 januari 2020
  • 18 reacties
  • 361 keer bekeken

Dag allen,

Net als vorig jaar ben ik onlangs weer afgesloten van internet, overigens zonder enige aankondiging.

En kon 2 dagen blokkade opleveren en in praktijk 1 dag. Te gek voor woorden.

Reden: vanaf mijn router wordt mega veel email verstuurd.

Die paar pc's zijn voorzien van uptodate Sofos virusscanners met ingeschakelde firewalls.

Voor de rest geen wifi camera's o.i.d. die smtp mail verkeer kunnen versturen.

Ik gebruik zelf ook geen smtp mail en gebruik die van ziggo ook niet.

Ik heb wel een wifi thermostaat en een wifi lamp die ik via internet kan bedienen.

in de router wordt dan automatisch een port-forwarding regel toegevoegd (via Upnp).

 

Alles gescand en niks spannends gevonden en alle wachtwoorden (incl van ziggo) gewijzigd.

En na een heel gedoe uiteindelijk weer na ongeveer een dag weer internet.

 

Ik heb nog gevraagd of zij kunnen aangeven vanaf welk interne ip adres het verkeer vandaan komt dan kan ik gericht de boel aanpakken. Dat kunnen ze gek genoeg helaas niet aangeven. Een gemiste kans zou ik zeggen.

Ik vroeg ze of ze mijn smtp 25 poort willen uitschakelen, dat gaat ook niet.

 

Mijn vraag aan jullie is of ik deze smtp poort 25 kan uitschakelen in de router?

ik kan wel filteren maar kan niet kiezen voor smtp of poort 25.

En wat kan ik nog meer doen om dit in de toekomst te voorkomen?

 

bvd voor de reacties

groet

 


Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

18 Reacties

Je bij mij ook,zie ik nu. Dacht even dat er wisslende Ip’s konden zijn voor smtp.ziggo.nl.
De andere IP’s hebben dus geen zin. Die luisteren niet naar 25 en zijn geen smtp servers.

abuse heeft niks laten weten over waarom de blokkade werd ingezet.
Als dat al over 25 zou zijn gegaan dan moet dat via smtp.ziggo.nl zijn geweest, anders lukt het bij voorbaat niet Wat je je daarbij nog kan voorstellen is malware die smtp.ziggo.nl kan uitvogelen en dan via smtp.ziggo.nl:25 gaat verzenden.

Zonder duidelijkheid van abuse at ziggo.nl valt hier verder weinig over te zeggen.
Zou het probleem nog maar eens gaan voorleggen, als het nog speelt.

 

 

 

Ik ken je modem niet, maar als dit blokkerende regels zijn, Ja. (wat betreft poort 25) smtp.ziggo.nl resolvet bij mij alleen naar  212.54.42.9.

IDie andere 2 zijn de pop en imap server. Het heeft geen toegevoegde waarde die te blokkeren, omdat ze niet kunnen worden gebruikt voor verzenden, alleen voor ophalen.

 

Ziggo blokkeert al het uitgaand verkeer naar poort 25, behalve naar hun eigen servers.


Ok dank je. Dus als ik al het verkeer naar de Ziggo mailservers heb geblokkeerd met die rules dan kan er geen mailverkeer meer vanaf de modem verzonden worden.

klopt mijn aanname?

Ziggo blokkeert al het uitgaand verkeer naar poort 25, behalve naar hun eigen servers.

@Humaxima

Je hebt mijn vragen niet beantwoord.


 Aan wat je hebt ingevuld kan ik zien dat je een poging doet uitgaand verkeer naar smtp.ziggo.nl:25 te blokkeren. Je hebt al 2 ips gevonden. Wie zegt dat het er niet meer kunnen zijn?

Waar de bestemmingspoort dan goed voor is, is mij een raadsel. Als je met een Client in je netwerk gaat communiceren over 25, dan is 25 de bestemmingspoort. Daarom is de invuloefening erg vreemd.

Verder begrijp ik nog niet helemaal, wat je er in praktische zin mee wilt bereiken.
Heeft abuse je laten weten dat je SPAM verstuurde over smtp.ziggo.nl:25? Kun je dat nog wat duidelijker maken? Gebruik je zelf ergens port 25 voor SMTP? Zo ja, wijzig dit dan in 587.

k gebruik zelf ook geen smtp mail en gebruik die van ziggo ook niet.

Snap ik niet. Om te verzenden heb je een een smtp server nodig. Welke gebruik je? Wat is het domain van het afzendadres?
Er is nog teveel onduidelijk.

 

Ik heb het niet goed verwoord en slecht aangegeven, excuus.

Van Abuse heb ik geen ruk gehoord daarom ga je van alles proberen voordat je weer van internet af geknikkerd wordt.

Ik gebruik geen Ziggo mail. Ik heb in ieder geval nergens ooit de Ziggo mail server gegevens ingevuld.

Die regels die ik  hierboven ingevuld had werken niet. Getest met telnet <servernaam> <poort> van Ziggo en kan er gewoon op komen.

Ik heb nu tijdelijk even al het verkeer naar de Ziggo mail servers uitgeschakeld met de onderstaande rules in ip/port filtering. En deze regels werken wel. Met telnet getest en kan er nu niet meer op komen. (pingen ook niet omdat alle protocollen nu uitgesloten zijn).

https://www.ziggo.nl/klantenservice/internet/e-mail/serverinstellingen

als je deze dns namen pingt dan heb je de ip nummers.

En je hebt gelijk, hiermee zijn alleen de mailservers van Ziggo uitgesloten en niet de rest van de wereld.

Ben ik nu even van dat gedoe af van Ziggo dat hun mailservers overbelast raakt.

Het liefst blokkeer ik uitsluitend al het uitgaande smtp verkeer (poort 25).

(even uitzoeken of dat lukt met de beperkte instel mogelijkheden.

Afzender IP-adres Bestemmings IP-adres Protocol Afzenderpoort Bestemmingspoort Ingeschakeld Wis
Alle 212.54.42.20 Alle Alle Alle    
Alle 212.54.42.9 Alle Alle Alle    
Alle 212.54.42.19 Alle Alle Alle    

@Humaxima

Je hebt mijn vragen niet beantwoord.


 Aan wat je hebt ingevuld kan ik zien dat je een poging doet uitgaand verkeer naar smtp.ziggo.nl:25 te blokkeren. Je hebt al 2 ips gevonden. Wie zegt dat het er niet meer kunnen zijn?

Waar de bestemmingspoort dan goed voor is, is mij een raadsel. Als je met een Client in je netwerk gaat communiceren over 25, dan is 25 de bestemmingspoort. Daarom is de invuloefening erg vreemd.

Verder begrijp ik nog niet helemaal, wat je er in praktische zin mee wilt bereiken.
Heeft abuse je laten weten dat je SPAM verstuurde over smtp.ziggo.nl:25? Kun je dat nog wat duidelijker maken? Gebruik je zelf ergens port 25 voor SMTP? Zo ja, wijzig dit dan in 587.

k gebruik zelf ook geen smtp mail en gebruik die van ziggo ook niet.

Snap ik niet. Om te verzenden heb je een een smtp server nodig. Welke gebruik je? Wat is het domain van het afzendadres?
Er is nog teveel onduidelijk.

Voor het kunnen blokkeren van Internettoegang gedurende een bepaalde periode is MAC Filtering beschikbaar. Wat IPv4 Port Filtering voor toegevoegde waarde zou kunnen hebben, is mij niet duidelijk. Wat je zou moeten invullen evenmin.

Ik kan me nog voorstellen dat je een intern IP toegang tot bv een Youtube of Game Site Destination Ip gaat ontzeggen. Waar die poortnrs dan voor nodig zijn ontgaat me. Besef ook dat een destination afwisselend verschillende Ip adressen kan opleveren via DNS.

Blokkeer toegang tot minecraft servers gedurende school/huiswerk-tijd, dat zou op basis van poorten kunnen. Zolang minecraft servers maar niet op vreemde poorten draaien natuurlijk ;)

 

Ip nr icm poort nr is specifieker. Mail verkeer versturen is smtp protocol (poort 25) bv ipnr mailserver+ poort 25 

mail ontvangst bij ziggo Dns naam: smtp.ziggo.nl = 212.54.42.9 poort 587

@ArieKanarie Ik snap je. Volgende vraag: wie begrijpt dit en gaat dit vervolgens gebruiken ipv MAC Filtering?

 

  • Wat doet IPv4 Filtering? Dit lijkt een beetje op Port Forwarding, maar dat is er al. Het lijkt ook een beetje op MAC Filtering: This section allows you to specify packet filtering rules to limit the internet access for local hosts. ??? Onbegrijpelijk.
  • Het laatste onderdeel “When would you like your IP and Port filtering to be active?” lijkt een Copy Paste van idem op de MAC Filtering Page en hier weinig functioneel te zijn.

 


Dat ziet er dan toch uit als een uitgaande firewall, weer wat geleerd. Normaal bedoeld om bijvoorbeeld spelletjes-verkeer te blokkeren na bedtijd, maar dit kan @Humaxima gebruiken om uitgaand emailverkeer te filteren.

Dan zou ik alleen filteren op de combinatie bestemmings-ip (212.54.42.9) en bestemmingspoort (25 en 587). Source poorten (Afzenderpoort op screenshot van @hanh ) zijn vaak dynamisch gekozen door de client, dus die wil je geen onderdeel maken van het filter.

 

 

Moet toch voor de technici van de grote Ziggo mogelijk zijn op in een package te checken van waar die bulk mailtje vandaag komen?  (in de mail header bv). Dan is de boosdoener zo getackeld kan dat zich in ieder geval niet herhalen. Win - win situatie zullen we maar zeggen en helaas werkt Ziggo niet mee.

 

Die mail header toont dan dat de mail aangeboden is vanaf jouw externe IP, daar zie je niet het interne LAN-IP in.

Ik dacht dat het wel te traceren was. Las dat ook hier ergens op de forum. Maar goed ze kunnen toch in ieder geval aangeven vanaf welke mailbox het verkeer komt.

Reputatie 5
Badge +5

Voor het kunnen blokkeren van Internettoegang gedurende een bepaalde periode is MAC Filtering beschikbaar. Wat IPv4 Port Filtering voor toegevoegde waarde zou kunnen hebben, is mij niet duidelijk. Wat je zou moeten invullen evenmin.

Ik kan me nog voorstellen dat je een intern IP toegang tot bv een Youtube of Game Site Destination Ip gaat ontzeggen. Waar die poortnrs dan voor nodig zijn ontgaat me. Besef ook dat een destination afwisselend verschillende Ip adressen kan opleveren via DNS.

Blokkeer toegang tot minecraft servers gedurende school/huiswerk-tijd, dat zou op basis van poorten kunnen. Zolang minecraft servers maar niet op vreemde poorten draaien natuurlijk ;)

 

Voor het kunnen blokkeren van Internettoegang gedurende een bepaalde periode is MAC Filtering beschikbaar. Wat IPv4 Port Filtering voor toegevoegde waarde zou kunnen hebben, is mij niet duidelijk. Wat je zou moeten invullen evenmin.

Ik kan me nog voorstellen dat je een intern IP toegang tot bv een Youtube of Game Site Destination Ip gaat ontzeggen. Waar die poortnrs dan voor nodig zijn ontgaat me. Besef ook dat een destination afwisselend verschillende Ip adressen kan opleveren via DNS.

Als ik mijn uiterste best doe te begrijpen wat de IPv4 Filtering voor je zou kunnen doen, blijf ik met grote vraagtekens zitten over nut en noodzaak.

Ik ben zo vrij te vermoeden, dat hier iets bedacht/gemaakt is, door ontwikkelaars die niet wisten waar ze mee bezig waren.
Dat geldt in mindere mate ook voor de opzet van de IPv6 Filtering, maar met enige moeite (= wonderlijk invulwerk) kun je er een port mee openzetten voor een IPv6 adres in je netwerk.

Noot. MAC Filtering blijkt op de (elke?) Connectbox alleen te werken voor IPv4 Connecties. Als er een IPv6 Connectie kan worden gemaakt dan wordt die niet geblokkeerd. Lekker kastje, die Connectbox. Ik gebruik dit verder niet, maar kwam dit in een Topic tegen, waar ik iemand verder hielp.

Reputatie 5
Badge +5

 

  • Wat doet IPv4 Filtering? Dit lijkt een beetje op Port Forwarding, maar dat is er al. Het lijkt ook een beetje op MAC Filtering: This section allows you to specify packet filtering rules to limit the internet access for local hosts. ??? Onbegrijpelijk.
  • Het laatste onderdeel “When would you like your IP and Port filtering to be active?” lijkt een Copy Paste van idem op de MAC Filtering Page en hier weinig functioneel te zijn.

 


Dat ziet er dan toch uit als een uitgaande firewall, weer wat geleerd. Normaal bedoeld om bijvoorbeeld spelletjes-verkeer te blokkeren na bedtijd, maar dit kan @Humaxima gebruiken om uitgaand emailverkeer te filteren.

Dan zou ik alleen filteren op de combinatie bestemmings-ip (212.54.42.9) en bestemmingspoort (25 en 587). Source poorten (Afzenderpoort op screenshot van @hanh ) zijn vaak dynamisch gekozen door de client, dus die wil je geen onderdeel maken van het filter.

 

 

Moet toch voor de technici van de grote Ziggo mogelijk zijn op in een package te checken van waar die bulk mailtje vandaag komen?  (in de mail header bv). Dan is de boosdoener zo getackeld kan dat zich in ieder geval niet herhalen. Win - win situatie zullen we maar zeggen en helaas werkt Ziggo niet mee.

 

Die mail header toont dan dat de mail aangeboden is vanaf jouw externe IP, daar zie je niet het interne LAN-IP in.

Zie plaatje 1 van de Bijlagen. Dit is de Port Filtering Page van mijn Connectbox Giga met IPv6 Full Dual Stack Firmware.
Hoe ziet de jouwe eruit? Wat voor Firmware draai je op[de Connectbox? Bekijk de Info Pagina en vergelijk met de voorbeeldplaatjes. Wat heb je?

  • Plaatje 2: DS-Lite; Connectbix heeft alleen IPv6 adres
  • Plaatje 3: Full Dual Stack; Connectbox heeft IPv4 en IPv6 adres
  • Plaatje 4: IPv4 Firmware; Connectbox heeft IPv4 adres.

Met IPv6 Port Filtering kun je op een hele rare manier in de IPv6 Firewall een port openzetten voor een Globaal IPv6 adres van een systeem in je netwerk. Zie:
https://community.ziggo.nl/thuisnetwerk-software-101/ipv6-poortfiltering-voor-eigen-webserver-29348
Wat je met IPv4 Port Filtering zou kunnen doen, is mij volsterkt onduidelijk. Ik heb daar elders een vraag over gesteld, maar nog geen antwoord op gekregen. De vraag is voorgelegd aan de ontwikkelaars van de Connectbox Firmware.

  • Wat doet IPv4 Filtering? Dit lijkt een beetje op Port Forwarding, maar dat is er al. Het lijkt ook een beetje op MAC Filtering: This section allows you to specify packet filtering rules to limit the internet access for local hosts. ??? Onbegrijpelijk.
  • Het laatste onderdeel “When would you like your IP and Port filtering to be active?” lijkt een Copy Paste van idem op de MAC Filtering Page en hier weinig functioneel te zijn.

 

Dat lijken port forwarding rules? Zo ja, dan gaat dat niet helpen.

 

Een apparaat binnen jouw netwerk verstuurt teveel mail (waarschijnlijk spam) via de Ziggo SMTP server, dat is een uitgaande connectie en zover ik weet gaat de firewall van de ConnectBox daar niet over. Heb de ConnectBox nooit als router gebruikt, dus zeker weten doe ik dat niet.

 

Het blokkeren van emails in een uitgaande firewall is ook niet de goede oplossing voor een gehackt apparaat in je eigen netwerk, dat is symptoombestreiding. Vind uit welk apparaat het is, compleet resetten, firmware updaten, beter beveiligen, liever nog: de prullenbak in. Want kan je dit gehackte apparaat ooit nog vertrouwen?

Een google zoekopdracht met trefwoorden: merk, type, hacked geeft waarschijnlijk duidelijkheid. Ziggo kan niet achter je ConnectBox/router kijken (dat moet je ook niet willen vanuit security en privacy), dus vandaar dat ze niet weten welk apparaat het precies is.

 

Wellicht ten overvloede, maar als je wifi-enabled devices met port forwarding toegankelijk maakt voor het hele internet moet je heel veel vertrouwen hebben in de firmware van de fabrikant en hun update procedures.

 

Hoi Arie,

 

Dank voor je reactie.

Dat zijn port/ IP  filtering rules. En mijn vermoeden is dat met deze 2 rules er in ieder geval niks het de Ziggo mail servers verstuurd wordt. Heb ik zelf nog niet kunnen testen middels tracert.

Mee eens dat dit geen structurele oplossing is maar wil niet weer zo rigoureus zonder pardon van internet omgeknikkerd worden.

Moet toch voor de technici van de grote Ziggo mogelijk zijn op in een package te checken van waar die bulk mailtje vandaag komen?  (in de mail header bv). Dan is de boosdoener zo getackeld kan dat zich in ieder geval niet herhalen. Win - win situatie zullen we maar zeggen en helaas werkt Ziggo niet mee.

 

Reputatie 5
Badge +5

Dat lijken port forwarding rules? Zo ja, dan gaat dat niet helpen.

 

Een apparaat binnen jouw netwerk verstuurt teveel mail (waarschijnlijk spam) via de Ziggo SMTP server, dat is een uitgaande connectie en zover ik weet gaat de firewall van de ConnectBox daar niet over. Heb de ConnectBox nooit als router gebruikt, dus zeker weten doe ik dat niet.

 

Het blokkeren van emails in een uitgaande firewall is ook niet de goede oplossing voor een gehackt apparaat in je eigen netwerk, dat is symptoombestreiding. Vind uit welk apparaat het is, compleet resetten, firmware updaten, beter beveiligen, liever nog: de prullenbak in. Want kan je dit gehackte apparaat ooit nog vertrouwen?

Een google zoekopdracht met trefwoorden: merk, type, hacked geeft waarschijnlijk duidelijkheid. Ziggo kan niet achter je ConnectBox/router kijken (dat moet je ook niet willen vanuit security en privacy), dus vandaar dat ze niet weten welk apparaat het precies is.

 

Wellicht ten overvloede, maar als je wifi-enabled devices met port forwarding toegankelijk maakt voor het hele internet moet je heel veel vertrouwen hebben in de firmware van de fabrikant en hun update procedures.

Nog het volgende in de Ziggo modem toegevoegd

212.54.42.9  = smtp.ziggo.nl (poort 587)

212.54.42. =  imap.ziggo.nl  (port 993)

Mijn inziens  moet er nu geen mailverkeer (poort 25) naar de ziggo mailserver verstuurd worden vanaf al mijn ip adressen.

Deze 2 regels zijn niet ingeschakeld (dus geen groen vinkjes).

Overigens betekent ingeschakeld zonder groene vinkjes dat het verkeer wordt geblokkeerd of doorgelaten?

Klopt mijn aanname en wie kan dit bevestigen?

bvd

 

Afzender IP-adres Bestemmings IP-adres Protocol Afzenderpoort Bestemmingspoort Ingeschakeld Wis
Alle 212.54.42.9 UDP/TCP 25:25 587:587    
Alle 212.54.42.20 UDP/TCP 25:25 993:993    

Die wifi lamp is er nu uit. Die thermostaat wordt lastig omdat ik deze gebruik voor de vloerverwarming in de badkamer.

Ik heb nu Upnp uitgeschakeld in de router en zo wordt er niet automatisch regels toegevoegd bij port-forwarding.

Daarna even getest of ik die thermostaat nog via 4G kan bereiken en dat lukt nog steeds.

Wel vreemd gezien er niks bij de port-forward staat of zie ik iets over het hoofd?

 

Kan ik niet in die connectbox een bepaald ip nummer dan wel port nummer blokkeren?

dus dat die thermostaat niet vanaf internet benaderd kan worden.

Die wifi lamp en thermostaat zou ik toch even van het web halen, en dan eens kijken of het nog gebeurt.