Ich steh' im Wald - Frage an Netzwerkgurus (Filtered TCP Port, der irgendwie doch keiner ist?!)

  • Och, man landet ja auch schon mal unberechtigt auf Blacklisten. Oder ganze Netze landen auf Blacklisten. (Das würde auch erklären weshalb der Kollege aus dem gleichen Netz auch nicht reinkommt.) Ich würde das Blacklisting mal abschalten, um es sicher ausschließen zu können.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Bei mir sperren die DNS Blacklisten aber keine Hosts. Sie erhöhen nur den Spam Score für Spamassassin. Habe die Funktion natürlich zum Test dennoch abgeschaltet, schadet ja nicht.

    Kein Erfolg. :(

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Hm ja, momentan habe ich auch keine Ideen mehr, außer die Configs und Logs vom MDaemon anzuschauen.

    Obwohl, du könntest ja mal testweise den MDaemon ausschalten und etwas anderes auf Port 25 lauschen lassen. Um zu sehen/auszuschließen, dass es am MDaemon liegt.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Verflixt noch Mal... Das ist die einfachste und richtigste Idee überhaupt. Wieso komme ich nicht auf sowas simples? Das versuche ich als nächstes, wahrscheinlich mit'm SSHd.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Gesagt, getan, und den SSHd auf Port 25 gelegt. Im LAN getestet, funktioniert. Von außen? Connection refused... Damit läßt sich der Mailserver wohl als Ursache ausschließen. Entweder spinnt die Firewall, oder es ist doch was externes vom Provider?

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Jo, ein Schritt weiter. Dann wäre der nächste Test wahrscheinlich wirklich Mal ein Internet Cafe/WLAN Hotspot/Prepaid-Karte, damit Du den Provider ausschließen kannst...

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • schreibt deine firewall denn keine logs? Es muss doch festzustellen sein, ob die verbindungsanfrage überhaupt dort landet oder eben nicht (sprich es hängt beim provider). Und wenn sie ankommt, muss ja in den logs sichtbar sein, was mit der Anfrage passiert. Ohne logs ist das einfach nur stochern. Ggfs könnte man mit wireshark auf deine ö IP gehen von einem client wo 25 nicht zugelassen wird, aber der firewall log wäre erstmal viel interessanter.

    Edit: Noch eine idee - wenn ich das richtig vom überfliegen auf dem Schirm habe, hast die alle mail ports in einer firewallregel zusammengefasst, die verschlüsselten werden aber wieder umgebogen. Probier dochmal entweder für 25 eine einzelne zu machen oder alternativ 465 und 587 temporär komplett aus dem Regelwerk rauszunehmen.

  • schreibt deine firewall denn keine logs? Es muss doch festzustellen sein, ob die verbindungsanfrage überhaupt dort landet oder eben nicht (sprich es hängt beim provider). Und wenn sie ankommt, muss ja in den logs sichtbar sein, was mit der Anfrage passiert. Ohne logs ist das einfach nur stochern. Ggfs könnte man mit wireshark auf deine ö IP gehen von einem client wo 25 nicht zugelassen wird, aber der firewall log wäre erstmal viel interessanter.

    [...] Edit: Noch eine idee - wenn ich das richtig vom überfliegen auf dem Schirm habe, hast die alle mail ports in einer firewallregel zusammengefasst, die verschlüsselten werden aber wieder umgebogen. Probier dochmal entweder für 25 eine einzelne zu machen oder alternativ 465 und 587 temporär komplett aus dem Regelwerk rauszunehmen.

    Das habe ich schon probiert und auch hier geschrieben. Also 465 und 587 habe ich temporär geschlossen, und das auch verifiziert. Dennoch sind Mails von diversen MTA's im Netz normal zugestellt worden. Also das muß über 25 gelaufen sein. Diese Verbindungen habe ich auch im Firewallmonitor und per Netstat sehen können, Zielport 25.

    Auch habe ich ganz oben im Regelstapel eine separate Regel eingerichtet, die TCP Port 25 global freigibt. Auch das hat nichts gebracht, bzw. den Zustand nicht verändert.

    Das Firewall-Logging muß ich mir anschauen, das ist natürlich ein richtiger Punkt. Mache ich als nächstes. Ich hoffe die Software kann ordentlich mitloggen. Versuche ich gleich als nächstes! Werde auch erst Mal einen unwichtigeren Port filtern, um zu schauen was die FW dann bei einem TCP DROP logged.

    Edit: Ah! Eventuell übersehe ich hier was! In meiner DNS Konfiguration gibt es einen zweiten MX Record der auf den Mailserver des Providers verweist, als Backup. Der bedient aber ausschließlich meine eigene eMail Addresse. Werde da eine Dummyadresse auch noch einrichten (ohne entsprechendes Konto beim externen Mailer), um zu sehen ob diese Mails nicht einfach schon von dem behandelt werden.

    Mein lokaler Server holt die von dort dann per POP3 ab. Das Log wäre dann ggf. auch noch zu prüfen.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (17. Juli 2020 um 10:31)

  • Ja OK sorry, ich habe leider grad nicht die Zeit (aber Lust! xD) das alles genau nachzuvollziehen, daher hab ich nur mal güst geschrieben was mir noch so einfällt.

    Aber solange Ansätze da sind, kommen wir auch irgendwie dahinter :)

  • Edit: Ah! Eventuell übersehe ich hier was! In meiner DNS Konfiguration gibt es einen zweiten MX Record der auf den Mailserver des Providers verweist, als Backup. Der bedient aber ausschließlich meine eigene eMail Addresse. Werde da eine Dummyadresse auch noch einrichten (ohne entsprechendes Konto beim externen Mailer), um zu sehen ob diese Mails nicht einfach schon von dem behandelt werden.

    Mein lokaler Server holt die von dort dann per POP3 ab. Das Log wäre dann ggf. auch noch zu prüfen.

    Ah. Du meinst, evtl landen einfach ALLE bei Deinem Provider-Server, die es übers Netz versuchen?

    Aber die Ausgabe, die ich z.B. bekomme, die ist doch eindeutig von Deinem MDaemon:

    Zitat

    220 xin.at ESMTP MDaemon 9.6.6; Fri, 17 Jul 2020 10:44:20 +0200

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • Ach ja, stimmt ja.

    Leider funktioniert das kack Packet Filter Log nicht (warum auch immer, logged einfach nichts, Handbuch geprüft, "sollte" Allows und Drops loggen...), aber zumindest das Connection Log funktioniert. Was ich also sehe sind zumindest die erfolgreich aufgebauten Verbindungen. Nach kurzem Betrieb mit aktivem Connection Log:

    Code
    [17/Jul/2020 10:37:31] [ID] 1789509 [Rule] P25test [Service] MDaemon SMTP [Connection] TCP mgate4.unileoben.ac.at:29004 -> zenit:25 [Duration] 24 sec [Bytes] 5514/1237/6751 [Packets] 22/15/37
    [17/Jul/2020 10:37:44] [ID] 1789526 [Rule] P25test [Service] MDaemon SMTP [Connection] TCP opr-3fee.transfer-nst.com:45259 -> zenit:25 [Duration] 20 sec [Bytes] 13123/1350/14473 [Packets] 20/17/37
    [17/Jul/2020 10:44:51] [ID] 1789900 [Rule] P25test [Service] MDaemon SMTP [Connection] TCP ******************:57280 -> zenit:25 [Duration] 31 sec [Bytes] 852/745/1597 [Packets] 20/14/34
    [17/Jul/2020 10:46:52] [ID] 1789980 [Rule] P25test [Service] MDaemon SMTP [Connection] TCP 152.32.218.126:59617 -> zenit:25 [Duration] 18 sec [Bytes] 350/426/776 [Packets] 6/5/11

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (17. Juli 2020 um 12:53)

  • So, habe jetzt einen MTA gefunden, der nicht geht: [AnonyMouse].

    Ein Kollege hat die Vermutung geäußert, daß eventuell PTR Lookups und MX Lookups unterwegs in der Providerinfrastruktur passieren könnten, und daß der Provider diese Connections bei Fehlen korrekter Einträge löscht.

    Denkbar oder nicht? Provider wie gesagt Magenta (vormals T-Mobile Austria, 100%ige Tochter von T Mobile Deutschland).

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Da bin ich raus, so tief kenne ich mich nicht aus.

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

  • PTR und MX lasse ich auch machen, um sicherzustellen, daß es einen "Mail eXchange" Eintrag für den Host in dessen DNS gibt. Und PTR ist nur ein normaler Reverse Lookup auf die IP, um zu sehen ob Forward und Reverse Lookups zusammenpassen.

    Aber ich droppe die Connections halt nicht, wenn die DNS Queries fehlschlagen, ich lasse nur den Spamscore erhöhen. Würde mich wundern wenn Magenta da echt Connections killen würde. Aber was weiß man.

    Vielleicht hat irgendwer Erfahrung mit T Mobile Business?

    Edit: Supportanfrage raus. Mal schauen ob/was da passiert.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (17. Juli 2020 um 13:49)