Toon posts:

[Exim] Blokkeren SMTP AUTH op poort 25

Pagina: 1
Acties:

zondag 18 augustus 2013 11:42

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik draai een Exim SMTP server op mijn Debian 7 VPS, en heb hier zowel poort 25 als poort 587 open staan.
Poort 25 wil ik gebruiken voor uitsluitend inkomende mail, en poort 587 voor uitsluitend relaying mail door middel van SMTP AUTH.

Nu ben ik er reeds in geslaagd om een ACL aan te maken zodat er uitsluitend TLS en authenticated verkeer over poort 587 gaat, dat heb ik als volgt gedaan onder acl_check_mail:

code:
1
2
3
4
5
6
7

  deny
    condition = ${if and{{eq{$interface_port}{587}} {eq{$tls_cipher}{}} } }
    message = All connections on port 587 must use TLS
  deny
    condition = ${if eq{$interface_port}{587}}
    !authenticated = *
    message = All connections on port 587 must be authenticated


Ik snap alleen niet hoe ik er voor kan zorgen dat authenticated verkeer op poort 25 geblokkeerd wordt, zodat ik gebruikers forceer om uitsluitend poort 587 te gebruiken om mail te relayen.

Ik hoop dat iemand mij in de juiste richting kan wijzen.

zondag 18 augustus 2013 12:20

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:26

Hero of Time

Moderator LNX

There is only one Legend

Poort 25 wordt voor uitgaande mail gebruikt, dus hoe je 'm wilt inzetten voor inkomend mag je dan eerst eens goed uitleggen. ;)

Als je alles zo nodig over 587 wilt laten lopen, zet dan poort 25 dicht. Dan pas forceer je gebruikers om via TLS te laten werken. Je moet toch een of andere authenticatie doen om de mailbox op te halen, dus als je auth wilt uitschakelen, schakel dan de hele poort uit.

Commandline FTW | Tweakt met mate

zondag 18 augustus 2013 12:24

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Laat ik het zo zeggen.

Ik wil poort 25 uitsluitend als MX gebruiken, dus als volgt:
Verzendende (externe) partij > Mijn poort 25 > Mijn lokale user

Ik wil er voor zorgen dat over poort geen authenticated mail verstuurd kan worden, dus als volgt:
Mijn lokale user > Mijn poort 25 > Ontvangende (externe) partij

Dat tweede wil ik alleen over poort 587 met TLS laten plaats vinden, wat inmiddels al goed is gelukt op die poort.

zondag 18 augustus 2013 12:28

Acties:
  • 0 Henk 'm!
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Ik snap eigen niet waarom je authenticated op poort 25 wil blokkeren. Het is een ander poortje naar dezelfde verwerkende engine.
Hero of Time schreef op zondag 18 augustus 2013 @ 12:20:
Poort 25 wordt voor uitgaande mail gebruikt,
inkomend ;) altijd inkomend (je moet serverside denken niet client side)

[ Voor 19% gewijzigd door Fish op 18-08-2013 12:52 ]

Iperf

zondag 18 augustus 2013 12:31

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
fish schreef op zondag 18 augustus 2013 @ 12:28:
Ik snap eigen niet waarom je authenticated op poort 25 wil blokkeren. Het is een ander poortje naar dezelfde verwerkende engine.
Omdat ik encryptie voor uitgaande mail wil afdwingen, en hier poort 587 voor heb gereserveerd. Ik ben bang dat users hier anders poort 25 voor gaan gebruiken, waar ook unencrypted verkeer over heen kan. Of zeg ik nu iets vreemds?

zondag 18 augustus 2013 12:33

Acties:
  • 0 Henk 'm!
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Maar dat moet je niet op poort niveau doen maar op domein niveau.
Je moet relaying weigeren voor alle mail (van buitenaf) die niet naar jouw domeinen gaat. tenzij het authenticated is.

Anders heb je alsnog een open relay

Je dwingt gebruikers niet tls te gebruiken door eenvoudig smtp open te laten staan op 25

[ Voor 20% gewijzigd door Fish op 18-08-2013 12:35 ]

Iperf

zondag 18 augustus 2013 13:35

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Verwijderd schreef op zondag 18 augustus 2013 @ 12:31:
[...]


Omdat ik encryptie voor uitgaande mail wil afdwingen, en hier poort 587 voor heb gereserveerd. Ik ben bang dat users hier anders poort 25 voor gaan gebruiken, waar ook unencrypted verkeer over heen kan. Of zeg ik nu iets vreemds?
Je zegt iets vreemds: Je kunt AUTH (de mogelijkheid tot) prima laten afhangen van TLS/SSL, ongeacht de poort. Vervolgens is 587 ook unencrypted en wordt het dat pas als je STARTTLS toepast. Poort 465 is voor old-school SSL.

Als je dit per see op deze manier wilt, kun je gebruik maken van de auth_advertise_hosts setting.

[ Voor 8% gewijzigd door CyBeR op 18-08-2013 13:37 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 18 augustus 2013 13:43

Acties:
  • 0 Henk 'm!
  • Verwijderd
  • Registratie: Januari 1970
  • Niet online

Verwijderd

ik zou dit gewoon via iptables doen:

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d x.x.x.x --dport 25 -m state --state NEW,ESTABLISHED -j REJECT

iptables -A OUTPUT -p tcp -s x.x.x.x --sport 25 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j REJECT

zondag 18 augustus 2013 13:46

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:26

Hero of Time

Moderator LNX

There is only one Legend

Verwijderd schreef op zondag 18 augustus 2013 @ 13:43:
ik zou dit gewoon via iptables doen:

iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d x.x.x.x --dport 25 -m state --state NEW,ESTABLISHED -j REJECT

iptables -A OUTPUT -p tcp -s x.x.x.x --sport 25 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j REJECT
Nogal nutteloos als je in de settings van Exim ook gewoon poort 25 uit kunt schakelen. En de TS wil nog wel mail naar andere servers kunnen sturen via poort 25. Of wat hij ook maar extern er mee wil.

Commandline FTW | Tweakt met mate

zondag 18 augustus 2013 13:48

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 22:42

CAPSLOCK2000

zie teletekst pagina 888

Hero of Time schreef op zondag 18 augustus 2013 @ 12:20:
Poort 25 wordt voor uitgaande mail gebruikt, dus hoe je 'm wilt inzetten voor inkomend mag je dan eerst eens goed uitleggen. ;)
Poort 25 mag je gewoon gebruiken voor submission. Poort 587 is niet verplicht en poort 25 is gewoon toegestaan, dat werkt al 30 jaar. Het hele verschil tussen "ingaande" en "uitgaande" mail is ook bijzonder arbitrair. Ik heb een eigen mailservers in mijn netwerk. Als die met de buitenwereld communiceren gaat dat gewoon over poort 25. Ik zie het verschil niet tussen de communicatie van een mailserver en een mailclient, allebei spreken SMTP.


Misschien kan je met twee poorten je regels iets makkelijker of firewalltruuckjes uithalen, maar dan ben je precies dezelfde fout aan het maken als de TS. (en zo zijn we weer ontopic :) Je moet niet naar poortnummers kijken maar naar authenticatie en encryptie. Als iemand zich authenticeren over een beveiligde verbinding maakt het mij verder niet uit welke poort hij gebruikt.

This post is warranted for the full amount you paid me for it.

zondag 18 augustus 2013 21:11

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Bedankt voor jullie reacties.

Ik ben er inmiddels in geslaagd om SMTP AUTH uitsluitend toe te staan als het STARTTLS commando wordt geïnitialiseerd, en dit werkt dan op zowel poort 25 als 587. That will do it :)

[ Voor 4% gewijzigd door Verwijderd op 18-08-2013 21:11 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq