mcdaniels 22 Geschrieben 10. Mai 2004 Melden Teilen Geschrieben 10. Mai 2004 Hi! Habe grad mal folgendes Problem mit Schrecken festgestellt. Hab ne Mailwall Listening auf Port 25 und ein SMTP Programm welches auf Port 7000 die weitergeleiteten Mails von der Mailwall annimmt. Mailwall und SMTP / POP Server auf einer Kiste! Also von Aussen gesehen siehts so aus: INTERNET -> 25 Mailwall -> 8000 SMTP Programm/POP3 -> Client jedoch ist jetzt auch: INTERNET -> 8000 SMTP Programm -> per POP3 auf Client Also kann man jetzt quasi auf die Local Mail Domain mit einer gefakten Local Mail Domain Adresse z.B. daniel@home.at auf daniel2@home.at einfach eine EXE Datei schicken ohne dass die Mailwall hier was checkt ohne weiteres durchkommen bis auf den Client. Sprich gespoofte Mail in Verbindung mit dem Wissen dass 8000 auf SMTP hört = CHAOS? Was kann man hier machen.... Hab nur ne SW-Firewall Sygate (no Budget for other things... leider) und nen Proxy 2 NICs ... Denke mir ich könnte evtl der FW sagen , dass sie auf der NIC die nach aussen zeigt port 8000 sperren soll, da der Port ja nur für die Delivery der Local Mail Domain interessant ist - sprich die Interne nic darf auf 8000 hören und die externe nicht... Dann sollte doch der 8000 von aussen dicht sein oder? *peinlich peinlich* Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 10. Mai 2004 Melden Teilen Geschrieben 10. Mai 2004 Original geschrieben von dg76 Dann sollte doch der 8000 von aussen dicht sein oder? Korrekt, das sollte klappen. Peinlich ist das nicht, du hast es immerhin selber festgestellt. ;) Grüße Olaf Zitieren Link zu diesem Kommentar
mcdaniels 22 Geschrieben 10. Mai 2004 Autor Melden Teilen Geschrieben 10. Mai 2004 hi olaf... nach einigem hin und herüberlegen, kam ich jetzt aber zu folgendem Schluss.... wenn ich 8000 auf externer nic z.b. 195.3.80.x bei Incoming sperre, sperre ich dann nicht auch die Möglichkeit Mails von meiner Mailwall an das Port meines Smtp Proggis weiterzugeben? Die Mailwall hat ja als "Send outgoing Messages on" meinen 8000 eingetragen -> Da macht sie dann erst mal local delivery versuch und dann, wenns nix is MX-Records (DNS) Sprich also -> Client sendet -> port 25 -> Mailwall scannt -> Port 8000 -> SMTP/Pop Programm -> Internet (MX-Records) wenn 8000 jetzt dicht is, dann is ja.... Client sendet -> Port 25 -> Mailwall scannt -> Port 8000 (FW Blockt) und aus??? Huh ich glaub heut ists schon zu spät.. vielleicht denk ich zu kompliziert? :D Interessant wär noch, ob das SMTP Proggi so intelligent ist und auf beiden NICS auf 8000 lauscht dann würds ja gehen, denk ich... werds halt mal probieren morgen... Kennt sich hier noch jemand aus *grins* :suspect: Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 10. Mai 2004 Melden Teilen Geschrieben 10. Mai 2004 Original geschrieben von dg76 wenn ich 8000 auf externer nic z.b. 195.3.80.x bei Incoming sperre, sperre ich dann nicht auch die Möglichkeit Mails von meiner Mailwall an das Port meines Smtp Proggis weiterzugeben? Denkfehler! Du sperrst Port 8000 für die externe IP, nicht für die NIC! Eine FW arbeitet normalerweise anhand von IP-Adressen, so dass localhost (127.0.0.1:8000) offen ist. Klar, du kannst bei den FW-Regeln sogar als paranoider Admin noch die NIC-Nr. mit angeben, aber das darfst du in diesem Bsp. gerade nicht tun. Also muss die Regel lauten: Verweigere eingehenden Port 8000 auf IP 195.3.80.x und nicht Verweigere eingehenden Port 8000 auf NIC_extern Alternativ kannst du auch sagen (oder zusätzlich, dann aber *vor* der o. g. Regel): Erlaube alles von 127.0.0.1 auf 127.0.0.1 damit ist das Problem auch gelöst. Und falls der MTA mal platt ist... don't worry, SMTP arbeitet nach dem Store-and-Forward-Prinzip, da geht nix so schnell verloren. :) Greetz Olaf Zitieren Link zu diesem Kommentar
mcdaniels 22 Geschrieben 11. Mai 2004 Autor Melden Teilen Geschrieben 11. Mai 2004 hi, so nun hab ichs glaub ich :o) Allerdings hab ich dabei sicher wieder 1000 Haare gelassen :D Ich hab Regeln definiert und die haben ned gegriffen... (Sygate Platinum). Nun bin ich aber dahinter gekommen, dass der Fingerprint sprich die Applikation Smtp.exe ja bei der Sygate FW auf Erlauben steht, sodass meine zusätzliche Regel anscheinend (obwohl explizit auf diese Applikation angewendet nicht gegriffen hat) Gott sei Dank hab ich dann noch unter Erweiterte Einstellungen (Rechtsklick auf SMTP.EXE) ne Möglichkeit gefunden einen vertrauenswürdigen Adressbereich anzugeben. So und jetzt blockt die FW alles , was nicht in diesem Bereich ist. Naja da fällt mir wieder IP Spoofing ein... hatten wir GSD noch nicht... Aber irgendwie gibts immer was , worüber man sich Sorgen machen kann... Vielen Dank Olaf!! Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 Original geschrieben von dg76 So und jetzt blockt die FW alles , was nicht in diesem Bereich ist. Vielen Dank Olaf!! Klasse selber gemacht und gern geschehen :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.