RV220W kan je MTA veranderen in een open relay zonder DNSBL

Een nieuwe Cisco RV220W die aan NAT doet, kent aan het WAN-to-LAN verkeer op het LAN als afzender het LAN-adres van de router toe. Het gevolg? Alle externe IP's worden logisch gepromoveerd naar interne IP's.

Stel je RV220W heeft als intern LAN adres 192.168.1.1 en doet NAT met op je LAN een mail server. Niet zo raar. Je MTA die braaf alleen relay toestaat voor het interne LAN (b.v. door het accepteren van relay vanaf 192.168.1.1/24) verandert door de RV220W dan in een open relay op het internet. Want elke externe machine die naar jouw mail server gaat heet opeens 192.168.1.1. En omdat elke machine opeens het IP adres van de LAN-zijde van je router heeft, werkt anti-spam als DNSBL ook niet meer, want 192.168.1.1 staat echt niet in spamhaus of sorbs.

Fijn he?


Met de linksys werkt DNSBL:

Apr 9 03:18:17 foo postfix/smtpd[49507]: connect from 189-041-10-204.xd-dynamic.ctbcnetsuper.com.br[189.41.10.204]
Apr 9 03:18:18 foo postfix/smtpd[49507]: NOQUEUE: reject: RCPT from 189-041-10-204.xd-dynamic.ctbcnetsuper.com.br[189.41.10.204]: 554 5.7.1 Service unavailable; Client host [189.41.10.204] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=189.41.10.204; from=<no-reply005@job.com> to=<d091c4bd-0476-11d7-aba4-0003930ad8a4@rna.nl> proto=ESMTP helo=<189-041-10-204.xd-dynamic.ctbcnetsuper.com.br>

Met de RV220W gaat dat niet lukken en komt het bericht per definitie van je interne net...

Apr 10 18:34:29 foo postfix/smtpd[31608]: connect from ciscorouter.tld[192.168.1.1]

Cisco heeft de bug inmiddels bevestigd. Ze werken aan een nieuwe beta firmware die er nog deze maand moet komen. Vanwege andere problemen was de firmware (1.0.1.0) overigens al van Cisco's servers afgehaald.