Beantwoord

Kan geen mail meer ontvangen op eigen mailserver


Ik heb sinds kort een nieuw modem (connect box) ontvangen van Ziggo. In dit modem blijkt een nieuwere firmware in te zitten dan mijn oude modem (ook connect box).
In mijn oude modem kon ik poort 25 doorsturen naar mijn mailserver (synology). In het nieuwe modem kan ik dit niet meer, krijg de melding dan dit door veiligheid redenen niet mogelijk is.
Doordat ik poort 25 niet meer kan forwarden, is het niet meer mogelijk om mail te ontvangen. Het versturen gaat wel goed (via de server van Ziggo (in synology als relay server ingesteld)).

Mijn vraag, heeft iemand een oplossing voor de portforwarding van poort 25.
icon

Best beantwoord door Mark Ziggo 14 januari 2019, 13:16

Mark Ziggo schreef:

De reden? Ik vermoed dat het te maken heeft met het voorkomen van spam via open mail relay's, maar ook dat vraag ik na.


Inmiddels heb ik hier een definitief antwoord op:
Onze Security afdeling geeft een sterk advies aan onze klanten om geen onveilige SNMP te gebruiken. Dit wordt namelijk gebruikt door virussen en spyware om spam te versturen. Dit kan er toe leiden dat er Ziggo IP adressen geblokkeerd worden voor mailservers over de gehele wereld. Dat is de reden waarom het niet standaard mogelijk is om poort 25 open te zetten op onze nieuwste modemrouters.
Als je tóch de behoefte hebt, en de verantwoordelijkheid hiervoor wilt dragen, dan supporten we dit alleen door het modem in bridge-modus te zetten. Je kunt er dan een eigen router op aansluiten.

Overigens zou deze blokkade zowel op de Compal als op de Arris Connectbox van toepassing moeten zijn, als het op jouw Compal Connectbox wel kon is dat een bug. Hier op kantoor krijg ik ook op de Compal dezelfde foutmelding als ik poort 25 probeer te forwarden.

Bekijk origineel

32 Reacties

Ik ben hier ook net achter gekomen. ik vind dit echt onacceptabel dat ik poort 25 niet kan forwarden op mijn nieuwe connectbox. Het is betutteling ten top !!
Ik had een adsl / kpn lijn van Xs4all maar ben verhuist en moest nu ziggo nemen omdat ik niet in mijn tuin wilde laten graven voor een nieuwe KPN lijn
Ik kom steeds meer beperkingen mbt internet tegen bij ziggo en begin hier goed van te balen. ZIGGO doe hier wat aan !!!! inkomend poort 25 is echt nodig wanneer men zijn eigen mailserver wil draaien. Geef jullie gebruikers deze mogelijkheid !!!
Als ik weer met allerlei toeters en bellen dit moet gaan omzeilen zal ik weer de eerste zijn die weggaat bij ziggo zodra ik hier een KPN lijn (glasvezel) binnen kan krijgen.
BAH!
Reputatie 7
Badge +17
Uit een oud topic gehaald.

Be rt schreef:
In oud Ziggo gebied zijn de volgende blokkades van toepassing voor zover ik nu weet:

25: Geblokkeerd voor verkeer met een andere destination dan de Ziggo SMTP server (geldt alleen voor oud-Ziggo gebied) **Mod-edit (Mark) ** Deze blokkade geldt inmiddels ook in oud-UPC gebied
135: Geblokkeerd voor TCP en UDP verkeer
136: Geblokkeerd voor TCP en UDP verkeer
137: Geblokkeerd voor TCP en UDP verkeer
138: Geblokkeerd voor TCP en UDP verkeer
139: Geblokkeerd voor TCP en UDP verkeer
445: Geblokkeerd voor TCP verkeer
520: Geblokkeerd voor UDP verkeer
@Steefb , je verhaal klopt niet. 😉

gusto@fx8150:~$ telnet smtp.kpnmail.nl 25
Trying 213.75.63.13...
Connected to smtp.kpnmail.nl.
Escape character is '^]'.
220 CPSMTPM-CMT105.kpnxchange.com kpnxchange.com Thu, 10 Jan 2019 11:18:59 +0100

Groet, Gusto
Let op: het gaat hier over 25 Inbound.
De ConnectBox Firmware houdt een Forward van 25 tegen.
Vlgs mij het Ziggo Network zelf niet. Althans vroeger.

In een oud Topic dat echt niet meer te vinden is, had iemand een truuk om toch een Forward van extern 25 te krijgen op de ConnectBox. Iets mbv een UPnP tooltje. Geinig, maar daar hebben we nu niks aan.

Om te proberen: intern ip van Mail Server host als DMZ-host aanwijzen in de ConnectBox.
Als dit lukt, dan als defintieve oplossing:
ConnectBox in Bridge en eigen Router gaan gebruiken.

NB bij sommige domain providers is het mogelijk een andere externe port dan 25 te gebruiken voor je incoming mail. Die kun je dan op de ConnectBox wel naar 25 van de Mail server Forwarden.

Gr Han
@hanh inderdaad als ik mijn Synology in de DMZ zet komen de mails wel binnen. Dus Ja, een "eigen router" achter de ConnectBox zetten is een oplossing (Work around).
Maar omdat Ziggo nu poort 25 blokkeerd, moet ik inversteren in een router. Daar ben ik het niet helemaal mee eens (tenzij Ziggo de router vergoed).

Gr. Marco
Ja, de ConnectBox is speelgoed en nog net geschikt voor de gemiddelde klant.
Jij bent niet gemiddeld. Dat gaat je dus iets extra's kosten.
Beschouw het als een compliment.😉
Han
Maar als je interne mailserver in de DMZ gezet is moet je toch nog steeds een port-forward instellen? Die port forward instellen is juist wat niet lukt en verhindert wordt door de firmware in de Arris modem.
EDicker schreef:

Maar als je interne mailserver in de DMZ gezet is moet je toch nog steeds een port-forward instellen? Die port forward instellen is juist wat niet lukt en verhindert wordt door de firmware in de Arris modem.


DMZ-host wil zeggen: alle externe Ports krijgen een Forward naar dat Ip.
Een handmatige Port Forward van 25 naar dat Ip is daardoor overbodig.
Zoals meerdere aangeven, die ConflicktBox in bridged-modus en een eigen router erachter. 😃
Gusto schreef:

Zoals meerdere aangeven, die ConflicktBox in bridged-modus en een eigen router erachter. :D



Heel goede benaming 🙂
Bedankt Hanh, deze implementatie van een DMZ had ik nog nooit gezien.
Ik ga dus maar een andere router kopen en het modem in bridgemode laten zetten. Toen ik het modem om heb laten zetten naar IPV4 meende ik gezien te hebben dat ik zelf de modus om kon zetten, nu kan ik dat niet meer zien. Kan dat kloppen?
Reputatie 7
hanh schreef:

In een oud Topic dat echt niet meer te vinden is, had iemand een truuk om toch een Forward van extern 25 te krijgen op de ConnectBox. Iets mbv een UPnP tooltje. Geinig, maar daar hebben we nu niks aan.


Die heb ik gevonden: check deze!

Maar wel vreemd dat deze 'regel' niet gelijk is tussen de beide Connectboxen (Compal vs. Arris). Wat de achterliggende reden ook mag zijn zou het in ieder geval consequent toegepast moeten worden, dus daar ga ik achteraan.

De reden? Ik vermoed dat het te maken heeft met het voorkomen van spam via open mail relay's, maar ook dat vraag ik na.
Als je in voormalig UPC gebied woont kun je zelf switchen tussen Bridge en IPv4 Router Mode. In voormalig Ziggo gebied moet Ziggo dit voor je doen.
Gaat het snelst via:
www.ziggo.nl/chat
EDicker schreef:

..........deze implementatie van een DMZ had ik nog nooit gezien.
Ik ga dus maar een andere router kopen en het modem in bridgemode laten zetten.....


@EDicker
Dat is altijd zo op Consumenten Routers. DMZ-host is iets anders dan wat onder een echte DMZ wordt verstaan.
Het kan behoorlijk gevaarlijk worden zomaar iets als DMZ-host aan te wijzen, dat begrijp je.

DMZ-host gebruik je typisch als je een eigen Router achter de ConnectBox gaat gebruiken en je wilt de Router functie van de ConnectBox niet kwijt.
Voor een Router-op-Router setup is meer dan gemiddelde netwerkkennis noodzakelijk.
En een goed motief om dit zo te gaan doen.
Anders kun je beter de ConnectBox in Bridge (laten) zetten. Is easy does it.
Eigenlijk is er maar 1 goed motief: je wilt IPv6 behouden van de ConnectBox Firmware.
In Bridge krijg je uitsluitend Ipv4 van Ziggo. Dat zal gaan veranderen, alleen weet nog niemand wanneer.
Wat ook nog wel een goede reden kan zijn is gebruik van Ziggo Hotspots. Dat ben je kwijt als de ConnectBox in Bridge staat.

Zelf dacht ik eerst dat die Hotspots wel handig waren, maar in de praktijk gebruikte ik ze nooit.
Gr Han
DMZ met consumenten-spul, is een vaag aftreksel van wat het zou moeten zijn.
Dus eigenlijk niet doen.

https://nl.wikipedia.org/wiki/Demilitarized_zone_(informatica)

Zet dat "Ziggo-kastje" in bridged-modus, dat is een betere optie.

Groet, Gusto
Reputatie 7
Badge +12
Gusto schreef:

DMZ met consumenten-spul, is een vaag aftreksel van wat het zou moeten zijn.
Dus eigenlijk niet doen.

https://nl.wikipedia.org/wiki/Demilitarized_zone_(informatica)

Zet dat "Ziggo-kastje" in bridged-modus, dat is een betere optie.

Groet, Gusto



Sowieso is modem in bridge eigen router er achter altijd het beste ( dat is mijn mening )
Reputatie 3
Badge
Of een ander mailport op je server..
Badge +8
Zpiep schreef:

Of een ander mailport op je server..



Dat gaat niet werken voor het rechtstreeks ontvangen van mail op je eigen server. MTA naar MTA is gedefinieerd op poort 25.

Blij met mijn bridge modus..
Voor wat betreft een router erachter, wat is tegenwoordig een beetje compacte router die goed werkt?
Reputatie 3
Badge
Snap eigen mailserver local indien dynamisch ip enz, vaak niet zo, sommige als bijv DAVID . Tobit mailserver bied daarvoor dan een extra dienst aan.

Maar voor incoming een mailserver extern kan ook, en je lokale daarmee "koppelen" voor outbound heb je dan diverse mogelijkheden o.a. You could configure your local MTA to use your ISP's mail relay as a smart host (outbound), of je eigene externe op via een andere port. Zo hebben wij hem hier ondanks vaste ip en zakelijk abbo, kunnen we snel uitwijken en switchen als er ergens iets uit zou komen te liggen ( of onderhoud). je kan natuurlijk ook meerdere (MX) mailservers enz dat is voor ons weer net teveel van het goede. Alles inclusief archivering lokaal ( en vooral interne zaken communicatie blijft intern opgeslagen, met huidige leaks aktueel...) is wel lekker mits backup bewaren op- andere locatie. ( Want ook een cloud dienst gaat wel eens wat kapot of failliet daar op vertrouwen wat backups betreft is struisvogel politiek)

Bij vast IP . zakelijk enz is dit vaak anders maar dan heeft men bij dergelijke abbo's vaak ook port 25 niet op slot.

@TS weet ik niet of je mailserver prive of (klein)zakelijk is, vandaar hier wat meer text van mij.😉 Indien zakelijk kleinzakelijk zou je wat privacy zaken enz. betreft EU regels waarschijnlijk alleen via bridged router mogen omdat je anders weer e.a. moet regelen .... ( dus in ieder geval niet via een bij ISp in beheer zijnde router, dat is wat Datenschutz DLD aangeeft als men dieper kijkt)
@EDicker

Voor wat betreft een router erachter, wat is tegenwoordig een beetje compacte router die goed werkt?


Tsja, simpele vraag, moeilijk antwoord.
Zomaar een advies geven is tricky business.
Een dooddoener is:
https://nl.hardware.info/categorie/9/routers

Wat ik merk is dat men op dit Forum het veel heeft over ASUS.
Ook dat gaat niet altijd probleemloos & welk model dan.
@Gusto is verliefd op MicroTik.

Er zijn zat prima Routers, maar weet ik veel.
Het is tensotte ook nog een kwestie van smaak.

Dus: maak zelf een keuze. Dat scheelt een bij jou verkeerd uitgevallen advies.
Keuze kan lastig zijn, maar meer heb ik niet voor je.
Maatje raadplegen lijkt mij een prima optie. Kan je ff meekijken.
You're on your own met dit.

Han
Reputatie 3
Badge
Yep @han luister naar hem.
Wat mensen uit je omgeving goed kennen, is vaak het makkelijkste kost namelijk minder tijd om je in te werken / denken.

Enige is altijd even checken op secure zijn en laatste firmware enz, dit dan gedurende in gebruik zijn blijvend op de hoogte blijven en updaten is ook belangrijk.

Wat nu in is is morgen weer out , dan wel handig als je een model / fabrikant kiest die zorgen dat ze bijblijven en regelmatig indien nodig ook daadwerkelijk updates beschikbaar stellen , i.p.v. wegsmijt spullen omdat ze zooooo simpel zijn.
Bedankt @hanh en @Zpiep , Ik begrijp ook wel dat het niet makkelijk is. Ik had hier nog een oude Pix 501 liggen die ik wilde inzetten maar dat bleek maar een 10 client licentie te hebben. Een 515 vind ik ook thuis weer wat overkill hoewel dat wel een heel goede firewall is waar ik vroeger vaak mee werkte. Maatje van mij heeft een Asus maar regelmatig problemen ermee.
Ik denk dat ik mijn oog nu heb laten vallen op een netgear R7000. Niet de jongste maar daarom ook niet echt duur. Ik lees er best goede recenties over dus ga dat maar eens proberen.
Bedankt voor de reacties!
Gr,
Edwin
Reputatie 3
Badge
Hier nog wat refs:
https://www.lifewire.com/best-secure-routers-4140134

zie je je ?
Netgear’s Nighthawk AC1900 Wi-Fi router, properly known as the R7000,
Reputatie 7
Mark Ziggo schreef:

De reden? Ik vermoed dat het te maken heeft met het voorkomen van spam via open mail relay's, maar ook dat vraag ik na.


Inmiddels heb ik hier een definitief antwoord op:
Onze Security afdeling geeft een sterk advies aan onze klanten om geen onveilige SNMP te gebruiken. Dit wordt namelijk gebruikt door virussen en spyware om spam te versturen. Dit kan er toe leiden dat er Ziggo IP adressen geblokkeerd worden voor mailservers over de gehele wereld. Dat is de reden waarom het niet standaard mogelijk is om poort 25 open te zetten op onze nieuwste modemrouters.
Als je tóch de behoefte hebt, en de verantwoordelijkheid hiervoor wilt dragen, dan supporten we dit alleen door het modem in bridge-modus te zetten. Je kunt er dan een eigen router op aansluiten.

Overigens zou deze blokkade zowel op de Compal als op de Arris Connectbox van toepassing moeten zijn, als het op jouw Compal Connectbox wel kon is dat een bug. Hier op kantoor krijg ik ook op de Compal dezelfde foutmelding als ik poort 25 probeer te forwarden.
Badge +8
[mieren*modus] SNMP is iets anders dan SMTP [/mierenmodus] 😉

Onveilge servers zijn per definitie geen goed idee. @Mark Ziggo heeft natuurlijk wel gelijk. Weet wat je doet als je begint te prutsen met smtp. Allerbelangrijkste: geen relay! Of ziggo daaarom standaard deze poort maar moet blokken is een andere discussie. De meeste pakketten komen tegenwoordig al als geen relay out of the box.
Ik heb zelf wel een smtp server voor inkomende mail, werkt prima, maar het was wel een klusje om dat goed op te zetten.

Reageer