Vraag
Reacties
Oplossing
Aankondigingen
Tobias2
Level 4

Poort 25 gebruiken voor mailserver

goede dag Ik heb even een vraagje ik heb een ziggo modem en een eigen e-mail server maar die moet poort 25 gebruiken heb het al op andere manieren geprobeerd maar zonder succes en hoe kan ik dit oplossen want heb een zakelijke abonnement dus dan zou het toch moeten lukken dacht ik

 

 

Met vriendelijke groet Tobias

0 Kudos
98 Reacties 98
Meldingen
Aan Uit
Bert
Level 21
T.E.A.M.

@RichardBoGLue  schreef:

Inderdaad erg jammer. De uitleg dat het is om SPAM emails tegen te gaan is mij volledig onduidelijk.


@RichardBoGLue Voor poort 25 heb je geen authenticatie nodig en werd poort 25 vaak door spammers en fishers gebruikt om spam en fishing mail te verzenden.

0 Kudos
RichardBoGLue
Level 3

Maar dat is verzenden, ik heb het over ontvangen op poort 25. Wat is daar het bezwaar tegen?

AdriaanB
Level 5

-->> @RichardBoGLue ik heb het over ontvangen op poort 25

Nee, een extern systeem/mailserver maakt op port 25 verbinding met jouw mailserver en verzend een email naar jou. Voor jouw emailserver is dat ook verzenden. Alleen is jouw emailserver dan het eindpunt.  Het wordt pas "ontvangen" wanneer jij met jouw client-pakket jouw email ophaalt. port 25 is unauthenticated en spam-bots zoeken het hele internet af om open ports 25 te zoeken en te rapporteren bij spammers. Wanneer je poort 25 open zet moet je heel goed beveiligd zijn en dat gaat wel eens mis. Je moet onder andere relay uitgeschakeld hebben en je mailserver zodanig configureren dat via port 25 alleen email gestuurd kan worden aan de lokale adressen, het lokale domein. Met Fail2Ban kan je zien dat er tussen de 20 en 100 aanvallen per dag zijn, door bots. Mijn Fail2Ban blokkeert deze bot ip's voor een jaar. Bij analyse zie dat de bot dan gewoon via een opvolgend ip opnieuw probeert enz. Die bot jongens hebben kennelijk geen gebrek aan ip resources.

jhr
Level 2

Vraag of dit nog steeds geldt op dit moment, januari 2023. Via poort 25 kan ik namelijk sinds woensdagnacht geen emails meer ontvangen op de mailserver.

 

De vraag is:

Klopt het dat als de Connect modem in bridge gezet wordt, daar een eigen router op zet, poort 25 open gezet kan worden (in de eigen modem) voor binnenkomende email? 

0 Kudos
efok
Level 17

Ja in bridge werkt het ( nog) wel gewoon, gelukkig. @jhr 

0 Kudos
Random
Level 16

Ik heb dit draadje niet helemaal gelezen.

 

Ik heb al vele jaren een probleemloze eigen mail server. Ik gebruik de smarthost van mijn domein registrar als mail relay over een alternatieve poort 2025 en heb de ip range van die server whitelisted zodat niets anders dan die mail server verbinding met mijn smtp server kan maken op poort 2025 dus alle inkomende en uitgaande smtp gaat over die poort en via die remote smtp server het net op.

 

Ik heb het niet getest maar ik denk dat je dit ook kan doen met de ziggo mail server (smtp.ziggo.nl) op poort TCP 587. Want ik kan een succesvolle telnet sessie doen naar smtp.ziggo.nl op poort 587 wel en poort 25 niet.

 

telnet -4 smtp.ziggo.nl 587

 

Guido64_0-1673696382224.png

 

Inkomend staat poort 25 open.

uitgaand verkeerd op TCP poort 25 over ipv6 is (bij mij) niet geblokkeerd.

uitgaand verkeerd op TCP poort 25 over ipv4 is (bij mij) wel geblokkeerd.

0 Kudos
AdriaanB
Level 5

De enige belemmering is eigenlijk het niet kunnen forwarden van port 25 in de Connect Modem. Jammer dat dit mensen dan dwingt om in bridge mode te gaan om een eigen router in te zetten. Je kan het dus met een eigen router gewoon omzeilen. Waarom dan nog deze blokkade handhaven in de Connect Modem? Dat lijkt vrij zinloos. In de Ubee kon het gewoon wel. Overigens kan middels een legaal upnp trucje ook in de Connect Modem port 25 geforward worden. Ik heb dat al eens gepubliceerd in deze topic maar dat is weggemodereerd. Ik pas een trucje toe dat door games ook wordt gebruikt, het (al dan niet tijdelijk) forwarden van poorten op modem.  Het enige nadeel is dat bij een modem-reset de forward wegvalt en Ziggo reset nogal eens de Connect Modems. Ik werk nog aan een controlescript hiervoor (op Linux)

Random
Level 16

Het gebruik van upnp is niet veilig, waarschijnlijk is het daarom weggehaald.

https://community.ziggo.nl/t5/Internet/Waarom-UPnP-onveilig-is/td-p/23856

 

Ik heb mijn modem niet in bridge vanwege poort 25 wel of niet geblokkeerd is.

Ik ken die routers van ziggo niet in router-mode maar ik neem aan dat je daar ook gewoon een NAT port 25 forward in kan instellen. Als verderop Ziggo alsnog poort 25 gesloten heeft dan maakt het niet uit of je met een bridged modem en eigen router of met modem in router mode door ziggo word tegengehouden.

 

Ik gebruik een smtp server elders op het internet ik neem aan dat je ook de smtp server van google of ziggo als relay kan gebruiken. Ik heb dat zelf nooit getest omdat ik het niet nodig had.

 

Al mijn smtp inkomend en uitgaand verkeer gaan via die externe smtp server via een alternatieve poort die alleen bereikbaar is voor het ip adres van die remote smtp server op internet (whitelisted).

 

Ik gebruikt die smtp smarthost niet alleen vanwege het poort 25 probleem maar ook omdat ik een dynamisch IP adres heb die veelal op blacklists staan die worden gebruikt in mail servers en daardoor vaak geen mail afleveren op mail servers die een dynamisch IP adres hebben.

 

Mijn lokale postfix server werkt zo al 15+ jaar probleemloos.

 

AdriaanB
Level 5

"Het gebruik van upnp is niet veilig, waarschijnlijk is het daarom weggehaald"

Nee, dat "onveilig" is jumping to conclusions, klok horen luiden maar niet weten waar de klepel hangt.

UPnP is niet per definitie onveilig. Het kan wel door een toepassing onveilig worden. Ik pas om te beginnen geen UPnP deamon toe op mijn lokale linux-mailserver. Een deamon kan misleid en misbruikt worden. Camera's, printers etc die zichzelf via UPnP van alles toekennen kunnen onveilig zijn. Een poort 25 die met een UPnP command is geforward is gewoon een (tcp) geforwarde poort, niets meer en niets minder. Mijn oplossing van destijds is weggemodereerd omdat de Windows-tooling die ik gebruikt heb (een Windows executable van het internet...) om de poort middels UPnP te forwarden veroorzaakte een alarm van diverse virus-controllers. Het alarm was ten onrechte. Inmiddels gebruik ik dat niet meer, er is betere Linux tooling om UPnP in te stellen en te bewaken. Ik heb nu een script dat 1x per dag controleert of de poort nog geforward is omdat Ziggo zeker 1x per maand mijn modem (ge)reset (heeft). De mailservers op het internet zijn tolerant, als mijn forward even (minder dan een dag) weg is dan proberen ze het nog een keer....

 

Mijn lokale postfix (en fail2ban) server werkte al 10+ jaar probleemloos met forwards in het Ubee modem totdat het Connect Modem kwam.....

0 Kudos
Ronihd
Level 18
T.E.A.M.
AdriaanB
Level 5

Beste Ronihd

Dit gaat over Poort 25 gebruiken voor een eigen lokale mailserver en het forwarden van poorten op de Ziggo modem/router. Heeft totaal niets te maken met de links die u stuurt. Misschien eerst even de hele topic lezen? In plaats van ongenuanceerd een paar links er boven droppen??

Stanleyvc
Level 2

Nou verwacht niet lang meer,

Bij mij tot vanmorgen 6 uur ook, daarna geen mail meer en port in Stealth mode bij Ziggo.

🤢☹️😟🥺

0 Kudos
AdriaanB
Level 5

Stealth mode bij Ziggo???

0 Kudos
Bert
Level 21
T.E.A.M.

Mogelijk hier ook even je ervaring plaatsen als ook in bridge poort 25 inkomend dicht is, daar komt morgen een moderator langs: Re: poort 25 inkomend in bridge op ipv4 - Ziggo Community

MarcAngelo
Level 4

Fail2Ban is een erg fijne tool onder Linux.

 

Deze kan voor diverse services (ssh, http, mail etc) de logs van desbetreffende services  monitoren op ongeldige inlogpogingen.

 

Je kunt dan per service instellen hoeveel keer vanaf een IP-adres een onjuiste inlogpoging mag worden gedaan. Nadat overschrijding word gedetecteerd, zal Fail2Ban vervolgens het IP-adres aan de firewall toevoegen, om de toegang vanaf dat IP-adres voor een opgegeven tijd volledig uit te sluiten (in mijn geval word desbetreffende IP-adres 1 jaar door de firewall geblokkeerd).

 

Voor SSH heb je bijvoorbeeld ook wrappers, waarmee je kan instellen dat alleen vanuit Nederland mag worden ingelogd.

 

Als je dan ook nog Fail2Ban gebruikt...

0 Kudos
AdriaanB
Level 5

SSH beter niet openzetten naar buiten. Als ik dat doe heb ik honderden pogingen op root id per dag.

Als je van buiten op je Linux (Mail) systemen thuis wil inloggen dan op het Linux doosje een VPN server installeren en via VPN naar thuis inloggen. OpenVPN over port 1194 is een uitstekende tool

MarcAngelo
Level 4

Ikzelf gebruik een Fritzbox achter de Connectbox (staat in bridged mode).

Daarop kan ik zowel IPSEC als ook Wireguard VPN's configureren.

 

Op mijn Android toestel maak ik dan ook gebruik van AlwaysOnVPN.

 

Hierdoor hoeft SSH niet meer open te staan. Mocht het nodig zijn, dan kan ik op afstand een Virtual Machine starten, welke alleen gebruikt wordt voor SSH toegang.

 

Er wordt gefilterd dat alleen verkeer vanuit Nederland is toegestaan om verbinding te maken (ik ga nooit naar het buitenland). Daarnaast draait Fail2Ban, waardoor meerdere mislukte inlogpogingen worden geblokkeerd in de firewall.

 

Voor de SSH server zelf, maak ik ook nog gebruik van 2FactorAuthentication, zodat een username en password niet voldoende is om te kunnen inloggen.

 

Werkt prima.

En ja... Voorheen zag je dagelijks honderden inlogpogingen, maar dat is hiermee een stuk minder.

 

Je ziet ook allerlei inlogpogingen op de mail poorten, maar daarop houd Fail2Ban ook een hoop rotzooi tegen.

0 Kudos
Testing
Level 2

.

 

0 Kudos
AdriaanB
Level 5

@Tobias2 

Welk modem/Router heb je van Ziggo?

0 Kudos