SMTP Port 25 schließen

T

TripleH

Registered User
Hallo,

bei mir ist ein ziemlich seltsames Problem aufgetreten und irgendwie fällt mir nix cleveres mehr zu ein:
Ich hab bei mir auf dem Server, ein SuSE 9.1 mit Confixx 3.0 heute einen Mailserver in Betrieb genommen, welches mit Postfix läuft. Bekannterweise läuft der Standard SMTP Port ja auf 25 und dieser ist als offenes Relay vorhanden, obwohl alle Einstellungen soweit korrekt sind. Das bemerkt man an folgendes: Ich habe in der Master.cf einen zusätzlichen Eintrag eingefügt um den SMTP Verkehr über Port 2693 laufen zu lassen, dort bekomme ich ohne Authentifizierung die Relay-Fehlermeldung, jedoch lässt er auf Port 25 alles durch, egal ob mit oder ohne Authenifizierung. Irgendwie erscheint mir das unlogisch, bin bei Postfix noch Rookie und für jede Idee dankbar. Generell wäre es mir am liebsten den Port 25 komplett zu schließen, Veränderungen an der Master.cf haben jedoch nur bewirkt das Postfix nach dem reload Befehl nicht mehr anlief.
Wenn jemand irgendwelche Zusatzinfos brauch, einfach schreiben.

TripleH
 
Hallo!
- Wie hast du festgestellt, dass es ein offenes Relay ist?
- Welche Einstellung(en) hast du genau geändert?
- Welche Fehlermeldung kam beim reload von Postfix?

Wenn du den SMTP Port von 25 auf irgendetwas anderes ändert, wirst du auf jeden Fall kein SPAM oder Relay-Problem haben. Du wirst aber auch keine eMails mehr bekommen ;) .

mfG
Thorsten
 
Thorsten said:
Hallo!
- Wie hast du festgestellt, dass es ein offenes Relay ist?
- Welche Einstellung(en) hast du genau geändert?
- Welche Fehlermeldung kam beim reload von Postfix?
Click to expand...

- Festgestellt habe ich es indem ich es einfach getestet habe über Port 25 zu versenden, von dort nimmt er lustigerweise alles an was ihm angeboten wird. Mit dem neu angelegten Port 2693 geht dies jedoch nicht, dort verlangt er eine Auth, ansonsten meldet er "Relay Access Denied".

- An den Einstellungen selbst habe ich nix vorgenommen aber ich habe mir hier einige Beiträge angesehen und auch ma nach gegoogelt, die Einstellungen von Postfix sind soweit sauber, deswegen funktioniert es w*****einlich eben auf dem anderen Port.

- Lustigerweise kam keine Fehlermeldung, ich hab ihn per Postfix reload neu gestartet und wurde ohne Fehler ausgeführt, aber der Dienst nicht gestartet, denn als ich über 2693 ne Testmail senden wollte, kam ein Fehlermeldung (irgendwas mit nicht erreichbar). Daraufhin hab ich noch einmal Postfix reload eingegeben und er meldete dann das Postfix garnicht laufen würde. Anschließend habe ich die Master.cf wieder in Originalzustand versetzt, nur mit meinem 2693er Eintrag und nun läuft wieder alles korrekt, nur eben das er auf 25 alles durchlässt.
 
Nur mal ne Frage zwischendurch:

Du erwartest keine Post von extern oder ?
weil die wird bei geschlossenem Port 25 ins Nirvana laufen ...
 
Naja man merkt ich bin Mailtechnisch nen absoluter DAU, vielleicht sollt ichs erstma lassen und mich gründlich einlesen. Was hat der SMTP 25 mit Mailempfang zu tun? Dachte dafür ist der POP auf 110 da. *schulterzuck*
 
Hallo!
Andersrum:
SMTP -> eMail versenden & empfangen (Server zu Server) -> Port 25
POP3 -> eMail abholen (Client von Server) -> Port 110
IMAP -> eMail abholen (Client von Server) -> Port 143

Plus eventuelle SSL Verbindungen.

mfG
Thorsten
 
Thorsten said:
Hallo!
Andersrum:
SMTP -> eMail versenden & empfangen (Server zu Server) -> Port 25
POP3 -> eMail abholen (Client von Server) -> Port 110
IMAP -> eMail abholen (Client von Server) -> Port 143

Plus eventuelle SSL Verbindungen.
Click to expand...

Hallo Ich greiffe mal dieses alte Thema auf weil ich immo eine gedankliche BLOCKADE HABE und vielleicht sogar ein Verständnis Problem wobei ihr mir bestimmt helfen könnt.

Ich fang mal an
Wollte mein Postfix Server umstellen auf SSL habe mir Zertifikate erstellt und eingebunden funktioniert alles einwandfrei Senden empfangen rauf und runter.

So nun liest man ja immer wieder das der Port 25 gesperrt wird um den Spammern das leben schwer zu machen das wollte ich auch und habe einfach mal den Port 25 über IPTables gedroppt LOL da musste ich leider feststellen das ich keine Mails mehr empfangen konnte.
Und hier ist nun mein Verständnissproblem:
Was bringt es mir den Port 25 zu sperren wenn ich von aussen keine mails mehr empfangen kann.
Was muss ich tun damit andere Mailserver die mails auf meinen Mailserver schicken wollen (weil ich eine mail bekomme die auch auf meinem Server existiert ) wissen das mein Mailserver nur auf zB. auf port 587 oder 465 mails annimmt.
Ich denke mal eine Umleitung von Port 25 auf die beiden Ports ist dann ja wohl suboptimal oder ?

Bitte zerreist mich nicht für mein Unwissen vielleicht habt Ihr ja die Musse mir das leicht verständlich zu erklähren.

Vielen Dank
Twister
 
Twister said:
So nun liest man ja immer wieder das der Port 25 gesperrt wird um den Spammern das leben schwer zu machen
Click to expand...

Port 25 per iptables zu sperren kommt dem zukleben des Briefkastens gleich. Keine Werbung mehr, aber halt auch keine Post. Mich würde mal interessieren, wo du das gelesen hast.

Abgesehen davon, macht es prinzipiell selten Sinn, Ports in iptables pauschal zu sperren. Entweder du hast einen Dienst, der auf diesem Port lauscht, oder nicht. Wenn du keinen Dienst auf Port XY hast, brauchst du den Port nicht sperren (weil Anfragen an XY eh ins Leere laufen), und wenn du einen Dienst auf Port XY hast, funktioniert er gar nicht mehr, wenn du den Port sperrst - du könntest ihn auch genau so gut abschalten.
 
Mr.Check said:
Abgesehen davon, macht es prinzipiell selten Sinn, Ports in iptables pauschal zu sperren. Entweder du hast einen Dienst, der auf diesem Port lauscht, oder nicht. Wenn du keinen Dienst auf Port XY hast, brauchst du den Port nicht sperren (weil Anfragen an XY eh ins Leere laufen), und wenn du einen Dienst auf Port XY hast, funktioniert er gar nicht mehr, wenn du den Port sperrst - du könntest ihn auch genau so gut abschalten.
Click to expand...

Da hast du vollkommen recht !!

hier nur Beispiel links von grossen Anbietern

http://kundenservice.freenet.de/hilfe/email/programme/portumstellung-587/umstellung-port/index.html

http://kundenservice.freenet.de/hilfe/email/programme/porteinstellung/port587/index.html

Was ich nicht verstehe ist oder was ich verstehe ist

Ich kann meine Mails nun über port 587 oder 465 nach einer erfolgreichen Anmeldung verschicken. Ich kann aber auch über Port 25 nach einer erfolgreichen Anmeldung verschicken.

Wenn ich wie schon gesagt meinen Port 25 nun Blockiere kann ich keine Mails mehr empfangen wie machen dann die grossen das wenn die ihren port 25 abschalten ? das Verstehe ich jetzt noch nicht ganz.

Was kann ich tun um meinen port 25 zu schliesen und trotzdem mails von anderen Server empfangen die für meine Postfächer bestimmt sind.

mir geht es hier eigentlich nur ums Verständis ich habe kein offenes Relay die hack anfragen auf port 25 beunruhigen mich eigentlich nicht bei meinen Passwörtern aber Sie stören mich einfach und möchte eigentlich nur was dazulernen.

Vielen Dank
Twister
 
Hier liegt ein Missverständnis vor, denke ich.
SMTP brauchst du in "beide Richtungen". Und eingehend kannst du Port 25 nicht einfach schließen, weil dich andere Mailserver eben dort erreichen wollen.
Aber: Du kannst ausgehend Port 25 schließen und so PHP-Skripten etc. das unautorisierte Verwenden deines Mailservers über SMTP verbieten. Wer dennoch Mails über SMTP versenden muss, kann dies über Port 587 tun, wo man sich authentifizieren muss.
Achtung: Spammer können immer noch PHP mail() benutzen. ;)

Dein Open-Relay-Problem löst das wohl nicht, dazu bräuchte man im besten Fall deine Configs, aber vielleicht ist das mit dem Port 25 ja jetzt etwas klarer geworden. :)
 
s24! said:
Hier liegt ein Missverständnis vor, denke ich.
SMTP brauchst du in "beide Richtungen". Und eingehend kannst du Port 25 nicht einfach schließen, weil dich andere Mailserver eben dort erreichen wollen.
Aber: Du kannst ausgehend Port 25 schließen und so PHP-Skripten etc. das unautorisierte Verwenden deines Mailservers über SMTP verbieten. Wer dennoch Mails über SMTP versenden muss, kann dies über Port 587 tun, wo man sich authentifizieren muss.
Click to expand...
Ok das ist mir glaub ich imo etwas klarer geworden bzw das war mir schon so in etwa klar.

s24! said:
Achtung: Spammer können immer noch PHP mail() benutzen. ;)
Click to expand...
Aber doch nur wenn mein PHPScript, ich drücks mal so aus, nicht sauber Programmiert ist.

s24! said:
Dein Open-Relay-Problem löst das wohl nicht, dazu bräuchte man im besten Fall deine Configs, aber vielleicht ist das mit dem Port 25 ja jetzt etwas klarer geworden. :)
Click to expand...
Hab ich mich hier falsch ausgedrückt ?? hmm ich denke ich habe damit eben kein Problem denn mein Server lässt nur das senden von email zu wenn man sich erfolgreich angemeldet hat.

Nochmals zu dem Port 25, dass heist ja das die grossen anbieter Ihren port doch noch zum empfang offen haben, aber zum versenden geschlossen haben !!
Ergo gibt es auch keine möglichkeit einem anderen Server irgendwie mitzuteilen du musst mir meine mails auf port xy einbringen.
Verstehe ich das so richtig.?

Vielen Dank
Twister
 
Meiner Meinung nach ist die Sache mit dem Port 587 unsinnig bzw. bringt keinen wirklichen Vorteil (wer mir hier die Erleuchtung bringen kann, dem wäre ich dankbar).

Halten wir fest: Auf Port 25 werden immer Mails eingeliefert. Entweder von einem fremden Mailserver, der eine Mail für einen lokalen Benutzer zustellen will (also ohne Authentifizierung) oder von einem Mail-Client (mit Authentifzierung).

Bei einem richtig konfigurierten Mailserver nimmt dieser ohne Authentifizierung nur Emails für lokale Empfänger entgegen, damit er nicht als Spamschleuder (aka Open-Relay) genutzt werden kann. Kann eine Gegenstelle (z.B. ein Mail-Programm wie Outlook) sich mit Benutzernamen und Passwort authentifizieren, nimmt er auch Emails entgegen, die für andere, nicht-lokale Mail-Domains bestimmt sind.

Idee von diesem Port 587 ist es, diese beiden Dienste aufzutrennen. Also auf Port 25 liefern fremde Mailserver Emails für lokale Domains ein, und über 587 verschicken Mail-Clients nach erfolgreicher Authentifizierung ihre Mails. Das könnte ggf. nützlich sein, wenn man auf Port 25 einen AntiSpam-Proxy betreiben will, der für ausgehende Mails nicht erforderlich ist - in einer "normalen" Konstellation kann ich keinen Vorteil an der Methode erkennen.

Twister said:
Ergo gibt es auch keine möglichkeit einem anderen Server irgendwie mitzuteilen du musst mir meine mails auf port xy einbringen.
Click to expand...

Ja genau richtig, der fremde Mailserver findet über DNS die IP-Adresse deines Mailservers heraus, und versucht dann die Mails auf Port 25 zuzustellen. Genau wie dein Browser bei der Eingabe von www.example.com gezielt Port 80 ansteuert. An Port 25 geht also kein Weg vorbei ;)
 
Was Du da bei Freenet gelesen hast, betrifft ausschliesslich die Clients aka Kunden des Freenet-Mailservers. Diese können sich nur noch beim Submission-Port (587) authentifizieren um anschliessend Mails zu verschicken.

Mailserver unterhalten sich gegenseitig ausschliesslich über den SMTP-Port (25), auch bei Freenet.

Du musst lernen Server und Client im Allgemeinen (Applikationen), sowie Server<->Server und Server<->Client im Speziellen (Kommunikation) zu unterscheiden.
 
Joe User said:
Du musst lernen Server und Client im Allgemeinen (Applikationen), sowie Server<->Server und Server<->Client im Speziellen (Kommunikation) zu unterscheiden.
Click to expand...

genau das ist glaub ich mein noch Problem, naja ich denke mal ich kann mit meiner konfiguration dann schon leben.

Meine PHPScripte sind, ich denke mal, in Ordnung und mein Mailsserver lässt nur das verschicken von mails zu wenn man sich ge Authet hat. ( auch über PHPScripte ) hier muss man sich auch Authen.


Vielen Dank für eure Erklährungen
Twister
 
Mr.Check said:
Meiner Meinung nach ist die Sache mit dem Port 587 unsinnig bzw. bringt keinen wirklichen Vorteil (wer mir hier die Erleuchtung bringen kann, dem wäre ich dankbar).
Click to expand...

Du kannst auf Port 587 eine andere Konfiguration fahren als auf Port 25, z.B. nimmst du dort nur Mails mit Authentifizierung an und weist alle anderen ab. Damit kannst du dir auf Port 587 auch diverse Antispam-Mechanismen sparen (Spamfilter, Blacklisting, etc.)
 
danton said:
Du kannst auf Port 587 eine andere Konfiguration fahren als auf Port 25, z.B. nimmst du dort nur Mails mit Authentifizierung an und weist alle anderen ab. Damit kannst du dir auf Port 587 auch diverse Antispam-Mechanismen sparen (Spamfilter, Blacklisting, etc.)
Click to expand...

Ja schon klar, aber welchen Vorteil sollte das in einer "einfachen" Umgebung bringen? Potentielle Spamschleudern verbindern sich weiterhin über Port 25 mit dem Server, auf dem die ganzen Sicherheitsmechanismen eingebaut sein müssen. Auf Port 587 werden nur authentifizierte Nutzer zugelassen, dadurch kann auf Blacklisting beispielsweise verzichtet werden. Bei authentzifierten Nutzern wird aber sowieso kein Blacklisting angewendet - ansonsten hätten die Benutzer ein Problem, wenn die eine dynamische IP-Adresse nutzen (was in der Regel der Fall ist) und eine RBL implementiert ist, die dynamische IP-Adressen blockt. Der Aufwand für den Server wird meiner Meinung nach also nicht geringer.
 
danton said:
Du kannst auf Port 587 eine andere Konfiguration fahren als auf Port 25, z.B. nimmst du dort nur Mails mit Authentifizierung an und weist alle anderen ab. Damit kannst du dir auf Port 587 auch diverse Antispam-Mechanismen sparen (Spamfilter, Blacklisting, etc.)
Click to expand...
Eben genau das erachtet Mr. Check ja als unnötig - ich im übrigen auch (zumindest beim Einsatz von Postfix). Wenn man bei Postfix die restrictions sauber setzt, hat man auch mit Blacklisting kein Problem.

Hintergrund ist sicherlich, dass viele eine BL einsetzen, die keine Mails von dynamischen IPs ( = trojanerverseuchte PCs) annimmt. Dies hat u.U. zur Folge, dass man selber via eigenem Internetanschluss keine Mails mehr auf dem Standardport 25 mit dem eigenen Client (Outlook, Thunderbird) einliefern kann.

Aber wie gesagt unter Postfix muß man hier nur die Reihenfolge der restrictions beachten und man braucht diesen Kram mit zusätzlichem Port nicht.
 
@TerraX: Es geht nicht um einzelen Server sondern der Port 587 wurde immer mit "Wie machen es die Großen [Provider]?" genannt. AOL und anscheinend auch Freenet machen dies um den externen Verkehr vom internen zu trennen. Nicht nur über Ports, sondern auch über Server hinweg.
So steht hinter dem Port 587 bei Freenet andere Server bereit als hinter Port 25.
Vorteil: Bessere Skalierung über die unterschiedlichen SMTP-Dienste.

Geschichte:
AOL ist früher sogar soweit gegangen und hat den vollständigen Verkehr zwischen Client und Internet auf Port 25 geblockt. Grund: Damals waren Viren/Würmer/Torjaner tätig, die ein eigenes Email-Client-Modul enthielten und sich einfach selbst verschickt haben.
So konnte aber auch kein AOL-Kunde ein normales Email-Konto bei einem anderen Provider mehr nutzen. Ich weiß nicht mehr wer es war (evtl. sogar AOL selbst), aber irgendjemand ging dann hin und öffnete zusätzlich den Submission-Port (587) als "Postausgangs-Server". Das hat sich dann unstandardisiert fortgesetzt.

huschi.
 
Blacklistings sind vielleicht ein schlechtes Beispiel gewesen. Ich habe bis vor 1-2 Jahren noch Spamassassin über Amavis als Content-Filter eingebunden gehabt und das wurde halt auch von authentifizierten Usern jedes Mal durchlaufen. Da hat der Submission-Port natürlich geholfen.
Ein zweiter Vorteil ist mir gerade noch eingefallen, nämlich daß manche Internetprovider den Zugriff per Port 25 blockieren (z.B. Vermeidung von Spam über infizierte PCs) - AOL hat da vor einigen Jahren mal mit für Schlagzeilen gesorgt. Da klappte aber der Versand bei submission-Port problemlos.
 
You must log in or register to reply here.
Back
Top