Postfix/Smtp - Portrange Postausgang

P

propings

New Member
Hallo,

ich habe einen vServer mit Debian und Plesk laufen und folgendes Problem:
Beim Versenden von Mails öffnet smtpd immer einen beliebigen TCP-Port bei einer Portrange zwischen ca. 45.000 - 62.000. Ähnlich wie beim passiven FTP.

Ich weiß nicht warum smtpd das so macht. Fakt ist, dass das Versenden von Mails ohne die Freigabe dieser Ports nicht funktioniert.
Lässt sich die Portrange irgendwie einschränken? Ich möchte nämlich nicht alle Ports in der Firewall freigeben.

Für Hilfe bin ich sehr dankbar!
Viele Grüße

EDIT// Es handelt sich um eingehende Verbindungen. Ausgehende Verbindungen sind durch die Firewall grunsätzlich erlaubt.
 
Last edited by a moderator:
Es handelt sich hier um ausgehende Verbindungen - das Verhalten ist völlig normal (das machen andere Dienste auch). Auf einem gut konfigurierten Linux-System hast du normalerweise ohnehin nur die Ports offen, die sowieso offen sein müssen - ein Port, an dem kein Dienst lauscht, ist sowieso geschlossen und muß nicht noch mal extra durch eine Firewall geschlossen werden.
Ebenso schützt eine Firewall auch ausgehend nur in besonderen Fällen - also sperr nicht einfach ausgehen global alle Ports, sondern nur die Verbindungen, die du gezielt sperren mußt.
 
Sry, das hätte ich noch schreiben müssen.

Es handelt sich um EINGEHENDE Verbindungen. Ausgehende Verbindungen sind durch die Firewall grundsätzlich erlaubt.
Wenn ich Firewallregeln erstelle, dann nur für eingehende Verbindungen.

Gebe ich in der Firewall die oben genannte Portrange frei (EINGEHEND), dann funktioniert das Versenden wunderbar. Doch das ist ja nicht das Ziel edliche Ports freizugeben.
Beim Versenden einer Mail landet diese ja erst im Postausgang und wird dem Server (eingehend) übermittelt, bevor sie dem Empfänger weitergeleitet werden kann.

Dennoch schonmal vielen Dank für deine Hilfe! :)
 
Last edited by a moderator:
Also Postfix (der SMTP) lauscht doch eigentlich nur auf Port 25, und wenn er aktiv ist, Port 587 (Submission). Mehr brauchst du für eingehende Verbindungen gar nicht öffnen und so kannst du von extern eine Nachricht an deinen SMTP übergeben.

Und wenn ich gerade "Postausgang" lese, denke ich automatisch an das IMAP Protokoll und da wäre es Port 143 der für eingehende Verbindungen aufgemacht werden muss. Den SSL Port habe ich allerdings gerade nicht im Kopf.

Aber ich lasse mich gerne korrigieren, wenn etwas falsch war.
Gruß, Domi
 
Bei dem Wort "Postausgang" muß ich auch an IMAP denken, aber der hat mit dem smptd von Postfix nix zu tun.
Auch bezüglich eingehender Ports hatte ich oben schon geschrieben, dass man da normalerweise nix in der Firewall sperren muß. Auch ohne Firewall sind auf meinem System nur die Ports offen, die auch offen sein müssen.
Wie hast du denn herausgefunden, dass der smtpd diese Ports eingehend öffnet? Was sagen die Logs, wenn die Ports nicht geöffnet sind. Hast du auf deiner Firewall eine REJECT oder DROP Policy eingestellt?
 
propings said:
Beim Versenden von Mails öffnet smtpd immer einen beliebigen TCP-Port bei einer Portrange zwischen ca. 45.000 - 62.000.
Click to expand...
Du meinst, dein smtpd verbindet von deinem Server von 127.0.0.1:45000 bzw. hostname:45000 nach extern oder was?
Bist du sicher?
 
Vielen Dank für eure Antworten!

Ich habe sämtliche Ports für den Mailverkehr freigegeben. Auch den Submissionport.
Welche Ports beim Übermitteln der Mail an den Server geöffnet werden schaue ich mir via netstat an.
Die Policy der Firewall läuft momenten auf REJECT. Hatte sie sonst immer auf DROP.

Hier einmal zwei Screenshots von netstat während von meinen Client gerade eine Mail übermittelt wird.
Zwei Probedurchläufe also.

MOD Bilder bitte immer als Anhang. Danke!

Hier werden folgende Ports geöffnet: 34020, 60743 und 60744 (beliebig)

MOD Bilder bitte immer als Anhang. Danke!

Und hier: 34741, 33235 und 33236 (beliebig).
 

Attachments

  • 6eed3b-1417525898.jpg
    6eed3b-1417525898.jpg
    93.4 KB · Views: 214
  • e0c175-1417525571.jpg
    e0c175-1417525571.jpg
    103.3 KB · Views: 207
Last edited by a moderator:
Das sind die Ports vom Clienten, die interessieren dich auf dem Server nicht.
Mache mal Netstat auf dem Clienten und dem Server und vergleiche mal die Ausgaben.

Das verhält sich so:
Der Client öffnet Port 49767 und verbindet sich auf dem Server mit Port 993.
Client
tcp 0 0 client-ip:60777 server-ip:993 VERBUNDEN 1000 130758 2781/thunderbird
Click to expand...
Server
tcp 0 0 server-ip:993 client-ip:60777 VERBUNDEN 119 1709167 12211/imap-login
Click to expand...
 
You must log in or register to reply here.
Back
Top