Vraag
Reacties
Kabelfan376
Level 5

Poort 25 uitgaand en Telnet?

Hallo allemaal,

Het is augustus 2023 en ik weet dat poort 25 uitgaand dicht is. Betekent dit automatisch dat een Telnet sessie om de inkomende poort 25 te testen niet werkt?

 

toelichting: 

ik heb een mailserver thuis en daarop ontvang ik soms geen nieuwe mails via inkomende poort 25. Mail ophalen gaat via poort 993 en werkt wel altijd. Ik vermoed dat mijn spam/malware/geoIP blocker (pfSense pfblockerNG) de oorzaak is en ben bezig te zoeken waar de blokkade zit. 

Om te troubleshooten gebruik ik na elke aanpassing “telnet mail.mijndomein.nl 25” van buitenaf, maar krijg steeds een time out, terwijl de mail vanmiddag steevast goed aankomt. 

Zou het kunnen zijn dat mijn mailserver het telnet verzoek wel ontvangt en ook beantwoordt, maar dat het antwoord via uitgaande poort 25 verstuurd wordt? En dus niet verder komt omdat poort 25 uitgaand dicht is?

0 Kudos
41 Reacties 41
Meldingen
Aan Uit
tobiastheebe
Level 20
T.E.A.M.

Is jouw mailserver alleen via IPv4 of ook via IPv6 bereikbaar? Ik ben benieuwd of je 'buitenaf' via IPv4 of IPv6 test.

 

Een MTA gebruikt poort 25 voor zowel inkomende als uitgaande verbindingen. Als jouw mailserver als MDA inkomende mail ontvangt van een extern(e) MTA/domein, dan wordt dus alleen poort 25 gebruikt. Je dient dan ook een relay (smart host) te gebruiken om mail naar externe domeinen te kunnen verzenden.

 

Als je echter 'buitenaf' test via telnet, dan is deze verbinding afkomstig van een willekeurige (ephemeral) poort en wordt het antwoord vanaf jouw mailserver dus naar die willekeurige poort verzonden. Je zou dus antwoord moeten zien in telnet als internettoegang beschikbaar is voor de server en de verbinding niet wordt geblokkeerd door de firewall van de router.

Random
Level 16

Je kan in firewall log zien of en wat eventueel poort 25 blokkeert.

Als pfblocker of iets als Snort iets blokkeert zie ik dat op deze plek.

 

Guido64_0-1690998273014.png

 

Kabelfan376
Level 5
Topicstarter

@Random Heel nuttig, dank je wel 🙏. Dit zie ik staan in de log, dus er wordt inderdaad geblokkeerd. Nu moet ik er alleen nog achter zien te komen welke blocklist de boosdoener is.

 

Kabelfan376_0-1691007719400.png

 

0 Kudos
Kabelfan376
Level 5
Topicstarter

@tobiastheebe : dank je wel voor deze educatieve bijdrage. Tot dusver gebruik ik alleen nog ipv4 voor de mail server, al heb ik ipv6 al wel werkend op mijn netwerk. Ik ontvang alleen mail via poort 25, versturen gaat idd via poort 587.

Je uitleg over de ephemeral poort moet ik eens goed lezen. Ik ging er in al mijn onkunde vanuit dat het telnetverzoek op mijn synology zou binnenkomen op poort 25 omdat dat de poort is die getest moet worden. Maar het is dus een willekeurige poort die wordt gebruikt voor het antwoord, begrijp ik dat goed? internettoegang is zeker beschikbaar voor de server (de synology) en ik blokkeer niet bewust iets in de firewall. pfBlocker staat nu uit dus die kan ook niet de oorzaak zijn.

0 Kudos
Random
Level 16

Ik neem aan dat je een NAT forward en firewall rule hebt gemaakt in pfsense naat je mail server?

Als ik in mijn firewall log kijk zien de blokkades van pfblocker er zo uit als hieronder.

Je kan ook tijdelijk pfblocker even uit zetten en dan testen.

 

Guido64_0-1691008519686.png

 

Je kan vervolgens in pfblocker ook kijken waarom het word tegen gehouden.

Misschien is het wel terecht.

Je hebt juist voor die reden pfblocker in gebruik zodat je poorten die open staan op de WAN ietwat bescherm worden. Als je geen open poorten nodig had hoefde je ook niet pfblocker in de WAN te zetten want die staat standaard immers dicht voor alles.

 

 

0 Kudos
tobiastheebe
Level 20
T.E.A.M.

Het verzoek komt inderdaad wel op poort 25 op de server binnen, maar is afkomstig van een willekeurige poort binnen de ephemeral poortreeks en het antwoord wordt dus ook naar die willekeurige poort verzonden.

Random
Level 16

In pfblocker onder reports kan je zoeken op rule id nummer.

Hiermee kan je zien in welke blocklist het geblokkeerde ip staat.

 

Guido64_2-1691009175728.png

 

 

 

 

 

0 Kudos
Kabelfan376
Level 5
Topicstarter

verkeerd gepost

0 Kudos
Kabelfan376
Level 5
Topicstarter

Ook weer heel nuttig. de firewall log geeft ook de naam van de blocklist als die actief is en dat was ie niet ten tijde van de schermafbeelding hierboven.

Je hebt gelijk dat pfblocker beschermt en dat is ook de bedoeling. Alleen is dat IP gewoon van mijn DNS provider. Ik ga nog even doorzoeken, dank voor alle hulp weer!

Kabelfan376
Level 5
Topicstarter

Helder. Dan is het mij wel een raadsel waarom mijn laptop met de telnet sessie geen antwoord krijgt. 

0 Kudos
Random
Level 16

Je ik weet niet is moeilijk te zeggen op afstand.

kijk naar de rule id zoek die op in pfblocker report.

Misschien heb je pfblocker wel veel te streng gemaakt who knows.

pfblocker even uit zetten en dan testen dan weet je ook al meteen of pfblocker er iets mee te maken heeft.

 

0 Kudos
Kabelfan376
Level 5
Topicstarter

Oke ik heb m gevonden:

Kabelfan376_0-1691018780104.png

Het is een class C netwerk 5.254.117.0/24, dat behoort toe aan mijn.host ISP. Ik ben daar klant, dus wanneer ik mijzelf een testmail stuur komt die terug vanaf een van hun servers, in dit geval 5.254.117.212. 

Nu staat deze in blocklist GB_rep_v4 volgens de pfBlocker Reports Unified zoekopdracht. Hiermee hebben we dus gevonden waar het probleem zit. Ik kan niet zoveel aan die blocklist veranderen en ik kan m ook niet vinden, ook niet bij pfBlocker -> Logs -> GeoIP files -> hele lange lijst.

 

Het meest eenvoudig lijkt me nu om dit IP (of het hele /24 netwerk) te whitelisten.

 

0 Kudos
Random
Level 16

Wat wil je precies blocken op je openstaande poorten zoals je mail poort?

Soms is iets (1 land zoals NLD) inderdaad white listen beter dan de rest van de wereld black listen.

 

Zo heb ik bv mijn webserver alleen toegankelijk gemaakt voor alleen IP adressen uit NLD die heb ik white listed en de rest van de wereld heeft geen toegang.

 

Die GB_rep_v4 lijkt me een IPv4 geoip list van het VK.

 

Ik maak in pfblocker een alias met alleen ipv4 en ipv6 adressen van NLD. Hieronder het IPv4 voorbeeld.

En deze stel ik in de wan bij de http rule als source in. Of in jouw geval je mail server uiteraard.

Guido64_0-1691024297569.png

 

Op deze manier kunnen alleen IP adressen uit NLD op mijn lokale HTTP server verbinding maken en de rest van de wereld niet.

Guido64_1-1691024809562.png

 

Ipv heel nld whitelisten kan je ook 1 of een specifieke groep vertrouwde IP adressen whitelisten ipv op basis van geoip een heel land.

0 Kudos
Kabelfan376
Level 5
Topicstarter

Ja ik dacht ook direct aan Great Britain voor GB. Vreemd dus dat daar een domein in NL op voorkomt. 
wat ik wil blocken in het algemeen (niet de mail poorten in het bijzonder) is het ongewenste verkeer, dus ik ben begonnen met de algemene pfblocker lijsten voor IPv4 en GeoIP. Daar zit dus blijkbaar al een adres bij dat legitiem is. Geen idee waarom die IPv4 reeks in die blocklist terechtgekomen is. Misschien is er een keer iets mis gegaan bij die ISP met SPAM en is hun reputatie een keer omlaag gegaan, wie weet. Ik heb ze een mail gestuurd. 
dat jij je web server alleen voor NL open zet begrijp ik wel. Voor een mail server zou dat niet handig zijn omdat legitieme mails uit het buitenland vaak via een buitenlandse mail server binnenkomen en die zouden dan niet aankomen. 
is het overigens niet aan te bevelen jouw web server te voorzien van een certificaat en alleen HTTPS verkeer toe te laten?

jouw schermafbeeldingen snap ik nog niet helemaal. Om te whitelisten moet je NL alias toch bovenaan staan? Ik zie in jouw WAN rules geen rules staan die door  pfblocker zijn aangemaakt dus ik veronderstel dat je voor pfblocker de floating rules tab gebruikt. Die floating rules worden als eerste uitgevoerd. 

0 Kudos
Kabelfan376
Level 5
Topicstarter

Ik zit trouwens in Noorwegen ivm vakantie en ga vandaag naar Bergen dus ik reageer af en toe niet zo snel.

de ISP vraagt mij om welke blocklist het gaat, ze willen graag de-listen . Is de oorsprong van die GB_rep_v4 lijst eenvoudig te traceren? Ik krijg wel een lijst met twintig bronnen met links waarmee ik blijkbaar naar al die websites moet gaan om de blocklists in te zien. Weet jij een snellere manier?

0 Kudos
Random
Level 16

Je hebt block lijsten met ip's met een slechte reputatie inderdaad en je hebt geoip lijsten die gewoon een goeie rep hebben. Dus als jij zoals je schrijft van geoip gebruik maakt kan het zijn dat je ip's met een goede rep toch blokkeert dus wat doe je precies in geoip heb je daar iets van landen geblokkeerd? Want dat zou kunnen verklaren dat je een ip (range) met een goeie rep toch geblokkeerd hebt. En ja zeker is het gek dat een NLD ip in een geoip zit van het VK maar wie weet doet dat NLDse bedrijf zaken met een VK bedrijf.

 

Het kan inderdaad ook nog dat een ip adres onterecht als slecht is aangemerkt door toe doen van een client die ongewenste dingen heeft zitten doen. maar ja dan komt dat niet in een geoip lijst maar op een slechte rep blocklist.

 

Ik heb mijn webserver alleen voor NLD toegankelijk gemaakt mijn mail server is weer een ander verhaal die heeft alleen contact met de smarthost van mijn registrar ik gebruik hun smtp server als relay dus in mijn wan kan alleen die ip range van die smtp relay contact maken met mijn mail server hier thuis.

 

Mijn lokale websites hebben uiteraard https en ook de htst header ingesteld.

Mijn websites scoren op securityheaders.com en internet.nl 100% en ook op ssllabs score ik A en A+ op verschillende van mijn websites.

 

Ik heb pfblocker inderdaad ingesteld zodat het de floating rules gebruikt en inderdaad voor de reden dat floating rules eerder worden uitgevoerd dan interface rules dat heb je goed onthouden. Maar ze waren ook niet zichtbaar omdat ik het plaatje bewerkt had zodat alleen de relevante rules te zien zijn.

Ik probeer niet onnodig teveel informatie te delen wat niet perse nodig is. Wat men op Internet niet weet kan niet tegen je gebruikt worden nietwaar.

 

Maar in principe staat er in mijn WAN niets wat schadelijk zou kunnen zijn dus hieronder zie je een onbewerkte afbeelding van mijn WAN ik heb alle ip's en poorten toch allemaal in aliassen staan dus die zijn al niet zichtbaar.

 

Maar dan heb je een idee hoe ik het heb.

 

Guido64_1-1691055859033.png

 

Random
Level 16

Ik denk dat die GB_rep_v4 onderdeel is van geoip van pfblocker.

Daarom de vraag: wat heb je precies in geoip ingesteld?

In dat geval heeft het niets met de reputatie van je isp te maken maar is het gewoon door een geoip instelling ontstaan dat zou wel e.e.a. verklaren.

 

Guido64_0-1691055184706.png

 

0 Kudos
Kabelfan376
Level 5
Topicstarter

Goed verhaal over de websites!

ik heb top spammers deny inbound en alle ipv4 landen aangezet. Mij leek dat die lijsten alleen “top spammers” zouden moeten bevatten en dus geen false positives. Mogelijk een onjuiste assumptie mijnerzijds. 

0 Kudos
Random
Level 16

Als je in geoip ipv4 alle landen hebt aangezet dan zeg je eigenlijk dat niemand ter wereld verbinding mag maken. Dan kan niets je open poorten bereiken.

Ik heb in geoip niets aangevinkt en staat uit behalve topspammers dan.

 

Ik heb voor het beperken van verkeer naar mijn webserver een aparte pfblocker filter gemaakt waar alleen NLD in zit op die manier kunnen alleen NLDse ip adressen verbinding maken met mijn webserver.

0 Kudos