Hi,
Am Mittwoch, 3. August 2005 01:16 schrieb Stefan Fuhrmann:
> Am Dienstag, 2. August 2005 17:31 schrieb Markus Hochholdinger:
> > gerade hatte ich einen Fall, wo eine Firewall SMTP-Verbindungen
> > blockiert, wenn kein MX-Record der Absender-Domain auf die IP-Adresse des
> > sendenden Hosts zeigt.
> Versteh ich nciht wie du das meinst. Wie kommst du denn darauf? EIn MX ist
> ja ein record auf den Mailserver. Wie meinst du dass denn "Absender-Domain
> auf die IP-Adresse des sendenden Hosts zeigt."
also die Firewall der Gegenstelle schaut während der SMTP-Verbindung, wer ist
der Absender der E-Mail (z.B. user@domain.de). Dann sucht sich die Firewall
per DNS die MX-Records der Domain domain.de und löst diese über DNS in ihre
IPs auf. Wenn die IP des sendenden Host jetzt nicht in diesen IPs enthalten
ist wird die SMTP-Verbindung für eine bestimmte Zeit geblockt!
Ich habe das zum einen empirisch getestet und zum anderen habe ich danach mit
einem Techniker der Gegenstelle telefoniert. Dieser machte für mich den
Eindruck dass er nicht genau weiss was er hier einsetzt (er hat nicht mehr
als "Firewall" gesagt) und keine Anstalten macht die Konfiguration auf seiner
Seite zu ändern. Seine Begründung: Da müssten wir ja unser ganzes
Sicherheitskonzept neu machen.
Naja, die praktische Lösung in diesem Fall war alle E-Mails an diese Domain
über den Mail-Server zu verschicken, der eigentlich für eingehende E-Mails
zuständig ist.
Trotzdem würde mich interessieren ob ich hier in Zukunft umdenken muss oder ob
"die anderen" auf dem Holzweg sind!?
> Das gibst so im DNS nicht!
Das ganze hier spielt sich nicht nur per DNS ab. Im Spiel ist hier eine
Firewall, die auf IP-Ebene Verbindungen sperren kann. Gleichzeitig versteht
diese Firewall das SMTP-Protokoll um die Absender-Adresse im SMTP-Header zu
bekommen und dann macht die Firewall auch noch ein paar DNS-Abfragen. Und das
alles bevor der sendene E-Mail-Server einen OK (200) zurück bekommt.
> Es gibt Mailserver die DNS Server abfragen können und einen "reverse
> lookup" durchführen.
> Gibt das Firewall -Log was her?
Die Firewall ist leider nicht unter meiner Obhut. Der Techniker der
Gegenstelle hat die IP meines Mail-Servers in seinen Firewall-Logs gefunden.
Klar, weil mein Mail-Server wurde ja auch von seiner Firewall gesperrt!
--
Gruß
\|/
eMHa (o o)
------------------------------------------------------oOO--U--OOo--
Markus Hochholdinger
e-mail mailto:Markus@Hochholdinger.net .oooO
www http://www.hochholdinger.net ( ) Oooo.
------------------------------------------------------\ (----( )-
\_) ) /
(_/
- application/pgp-signature Anhang: stored
Received on Wed Aug 3 03:24:43 2005