Re: Port 25 für MUA sperren

Jörn Bredereck jb at bw-networx.net
Sa Sep 10 01:30:31 CEST 2016 

Hallo Markus,


>> Naja, solange Port 25 für andere MTAs offen bleiben sollen, hast du da leider nur weniger Möglichkeiten:
>> 
>> a) über Firewall-Regeln die Netze der MUAs auf Port 25 aussperren (z.B. Dialup-Lists in die Firewall einbinden)
>> 
>> b) du könntest deine User zwingen sich mit Client-Zertifikaten zu authentifizieren und dieser Zertifikate nur auf Port 465 bzw. 587/TLS annehmen.
> so sollte es auch möglich sein , die SASL-Authentifikation nur auf
> diesen Ports zuzulassen.
> Auf Port 25 darf sich also kein MUA amittels SASL/Dovecot
> authentifizieren und ebenso ohne authentifizierung keine Mails
> einliefern können.


richtig, zumindest das Relayen wäre damit nicht mehr möglich. E-Mails für die eigenen Domains könnten damit weiterhin eingeliefert werden.

> 
> So wäre mir das am liebsten.

Ok, dann schalte die SASL-Authentifzierung für den SMTPD auf Port 25 aus und schalte ihn in der master.conf explizit nur für den SMTPD auf 465/587 an.

Oder du setzt einfach einen zweiten Postfix auf, der nur für das Relaying da ist. In einem grösseren Setup ist es sowieso empfehlenswert den User-Smarthost vom MX zu trennen. Das macht dann auch den Betrieb von komplett unterschiedlichen Policies viel einfacher, als wenn du einen MTA hast, der beide Rollen übernehmen muss.

>> Beides bringt eine ganze Reihe von Problemen und Nachteilen mit sich. Und ehrlich gesagt sehe ich auch die Motivation dahinter nicht. Was ist so schlimm daran, wenn ein MUA seine Mails auf 25 einkippt?
>> 
> 
> MTA's müssen ohne SSL/TLS Mails einliefern können, dies passiert  in
> aller Regel auf Port 25.
> Würde ich hier TLS/SSL bzw. STARTTLS - so wie ich es mir von den MUA's
> wünsche - erzwingen, wäre das vermutlich ebenso bindend für MTA's, oder ??

naja, es gibt Leute die sagen, E-Mails von MTAs ohne TLS sollte man sowieso nicht mehr annehmen, aber das muss jeder selbst wissen. Ich für meinen Teil nehme auch noch Mails von MTAs ohne TLS an. Wobei der Anteil an MTAs, die ohne TLS vorbei kommen inzwischen verschwindend gering ist.

> Ich sehe das derzeit einfach als Sicherheitsrisiko, da ich in meinen
> Logs sehr häufig Loginversuche mit SASL sehe, die da nicht hingehören.

Diese Bruteforce-Attacken wirst du aber weiterhin sehen. Dann bruteforcen die Script-Kiddies eben deinen Port 587 und nicht mehr 25. Was hast du dadurch gewonnen?

Wenn du dich gegen geknackte Passwörter schützen willst, helfen nur Client-Zertifikate oder evtl. noch eine Firewall, falls du auf IP-Ebene deine User vom Rest der Welt unterscheiden kannst. In vielen Firmen ist es inzwischen sogar üblich, dass die Laptop-User sich erstmal per VPN ins Unternehmens-Netz einwählen müssen, bevor sie die Mails dann über die LAN-IP-Adresse des Firmen-Mailservers verschicken können. Das ist auch sinnvoll, falls die User hinter irgendwelchen Hotel/Public-Hotspot-WLANs sitzen, die Port 25/587 in der Firewall blocken oder schlimmer noch: den SMTP-Traffic auf einen eigenen SMTP-Proxy umleiten.


Viele Grüße,
Jörn Bredereck

--

******************************
B&W-NetworX GmbH & Co. KG
Landstr. 67a
76547 Sinzheim
Fon: 07221 996388-8
Fax: 07221 996388-1
http://www.bw-networx.net
info at bw-networx.net
-----------------------------
AG Mannheim HRA 521208
Pers. haf. Ges.:
B&W-NetworX Verwaltungs-GmbH
Sitz: 76532 Baden-Baden
AG Mannheim HRB Nr.: 202122
Geschäftsführer:
Jörn Bredereck
Dipl. Ing. Holger Wunsch
******************************


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 203 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20160909/5bb11b28/attachment.sig>

Mehr Informationen über die Mailingliste postfix-users