[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Mailserver, MX-Record und Firewalls

Subject: Re: Mailserver, MX-Record und Firewalls
From: Markus Hochholdinger <Markus@xxxxxxxxxxxxxxxxx>
Date: Wed, 3 Aug 2005 03:23:46 +0200
To: uugrn@xxxxxxxxxxxxxxx
Hi,

Am Mittwoch, 3. August 2005 01:16 schrieb Stefan Fuhrmann:
> Am Dienstag, 2. August 2005 17:31 schrieb Markus Hochholdinger:
> > gerade hatte ich einen Fall, wo eine Firewall SMTP-Verbindungen
> > blockiert, wenn kein MX-Record der Absender-Domain auf die IP-Adresse des
> > sendenden Hosts zeigt.
> Versteh ich nciht wie du das meinst. Wie kommst du denn darauf? EIn MX ist
> ja ein record auf den Mailserver. Wie meinst du dass denn "Absender-Domain
> auf die IP-Adresse des sendenden Hosts zeigt."

also die Firewall der Gegenstelle schaut waehrend der SMTP-Verbindung, wer ist 
der Absender der E-Mail (z.B. user@xxxxxxxxx). Dann sucht sich die Firewall 
per DNS die MX-Records der Domain domain.de und loest diese ueber DNS in ihre 
IPs auf. Wenn die IP des sendenden Host jetzt nicht in diesen IPs enthalten 
ist wird die SMTP-Verbindung fuer eine bestimmte Zeit geblockt!

Ich habe das zum einen empirisch getestet und zum anderen habe ich danach mit 
einem Techniker der Gegenstelle telefoniert. Dieser machte fuer mich den 
Eindruck dass er nicht genau weiss was er hier einsetzt (er hat nicht mehr 
als "Firewall" gesagt) und keine Anstalten macht die Konfiguration auf seiner 
Seite zu aendern. Seine Begruendung: Da muessten wir ja unser ganzes 
Sicherheitskonzept neu machen.
Naja, die praktische Loesung in diesem Fall war alle E-Mails an diese Domain 
ueber den Mail-Server zu verschicken, der eigentlich fuer eingehende E-Mails 
zustaendig ist.

Trotzdem wuerde mich interessieren ob ich hier in Zukunft umdenken muss oder ob 
"die anderen" auf dem Holzweg sind!?


> Das gibst so im DNS nicht!

Das ganze hier spielt sich nicht nur per DNS ab. Im Spiel ist hier eine 
Firewall, die auf IP-Ebene Verbindungen sperren kann. Gleichzeitig versteht 
diese Firewall das SMTP-Protokoll um die Absender-Adresse im SMTP-Header zu 
bekommen und dann macht die Firewall auch noch ein paar DNS-Abfragen. Und das 
alles bevor der sendene E-Mail-Server einen OK (200) zurueck bekommt.


> Es gibt Mailserver die DNS Server abfragen koennen und einen "reverse
> lookup" durchfuehren.
> Gibt das Firewall -Log was her?

Die Firewall ist leider nicht unter meiner Obhut. Der Techniker der 
Gegenstelle hat die IP meines Mail-Servers in seinen Firewall-Logs gefunden. 
Klar, weil mein Mail-Server wurde ja auch von seiner Firewall gesperrt!


-- 
Gruss
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@xxxxxxxxxxxxxxxxx             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
                                                       \_)    ) /
                                                             (_/