Synology-Forum.nl
Packages => Officiële Packages => Mail Server => Topic gestart door: drvlaming op 16 januari 2018, 18:57:22
-
Beste NAS vrienden,
Ik heb veel gelezen over het instellen van de Firewall regels. Volgens mij heb ik alles goed staan en toch krijg ik meerdere malen per dag een inbraakpoging uit een exotisch land. Wie kan me helpen? Plaatje van de geldende regels en mijn interpretatie daarvan gaan hierbij.
Eerst een veiligheids-deur voor mezelf op zowel het externe als interne adres
dan de regels:
-
Hoe en waar zie je die inbraakpogingen? Meldt de NAS die?
-
Ja ik krijg zowel in DSM als in mijn mail en alert van een mislukte inlog:
Beste gebruiker
Het IP-adres [198.50.254.183] heeft 1 mislukte pogingen gedaan om aan te melden bij Mail Server die wordt uitgevoerd op XXXXX binnen 1 minuten, en werd geblokkeerd om Tue Jan 16 16:36:01 2018.
met vriendelijke groeten,
Dit heb ik zelf ingesteld in DMS
M.vr.gr,
Remmelt Visscher
-
Ik zie maar 3 poorten die geweigerd worden en dat zijn geen mailserver poorten.
Lijkt met geen mail probleem maar een probleem met firewall instellingen.
Een firewall sluit je af met alle poorten en alle IP's weigeren. Zo weet je zeker dat je alleen eerder gespecificeerde zaken toegang geeft.
-
maar,
in regel 1 geef ik mzelf toegang vanaf mijn externe adres
en in 2 vanaf mijn interne adressen
in regel 3 wordt toegang verstrekt tot de mailserver maar ALLEEN vanuit NEDERLAND
en in 4 alle andere [muv mailserver] maar ALLEEN vanuit NEDERLAND, DUITSLAND, BEGIE, LUXEMBURG en FRANKRIJK
in regel 5 worden specifiek de poorten 21, 22 en 23 GEBLOKKEERD
en ALLES dat door de regels 1 t/m 5 is heen gekomen wordt vervolgens geweigerd.
Op basis van regel 3 en 4 zou toegang [inlogpogingen] tot de mailserver van BUITEN Nederland toch geblokkeerd moeten zijn
en toch heb ik steeds [gelukkig niet gehonoreerde] inlogpogingen uit China, India etc.
Dat kan toch niet kloppen?
M.vr.gr,
Remmelt Visscher
-
Regel 5 kan weg, is zinloos want je hebt "Indien niet voldaan wordt aan de regels: Toegang weigeren" aangevinkt maak ik uit je berichten op.
Volgens mij niks aan de hand, het is slechts een log melding die bevestigd dat het werkt...?
-
M.b.t. regel 5 heb je idd gelijk.
Verder ben ik het niet met je eens.
De melding betekent dat de firewall het verkeer {China, India, Vietnam} heeft doorgelaten
en vervolgens wordt geblocked omdat de combinatie user/password onjuist is.
De firewall heeft het verkeer [Buiten BENELUX, Duitsland en Frankrijk] dus doorgelaten en niet geblokkeerd!
M.vr.gr,
Remmelt Visscher
-
Is Canada een exotisch land?
198.50.254.183 is van OVH, die zitten over heel de wereld en mogelijk wordt dat IP in andere landen gebruikt door hun...
Dit kan ook een research projekt zijn die bij OVH een server hebben gehuurd, enz., enz....
Staan er op LAN 1 nog regels of is alleen "Indien niet voldaan wordt aan de regels: Toegang weigeren" aangevinkt?
-
1} diverse pogingen opgezocht op whoisip: China, Vietnam, India etc
2} nee op LAN1 heb ik gen regels staan; zou dat moeten?
M.vr.gr,
Remmelt Visscher
-
De DS214+ heeft 1 LAN poort toch?
Dan hoeft het niet perse tenzij je meerdere interfaces hebt, b.v. nog een LAN 2 of VPN.
Regels die je nu hebt op Alle interfaces zouden b.v. zinloos zijn voor de VPN interface (hoewel verwaarloosbaar voor onze thuis NASjes, zinloze/dubbele regels eten wel CPU cycles).
Voor de "zuiverheid" zou je ze op LAN 1 kunnen maken.
Indien nog VPN, dan daaronder alleen het Dynamisch ip-bereik (VPN subnet) vrijgeven.
-
Oké thanks.
Daarmee is mijn "probleem" [niet gewenste inlog-pogingen op de mail-server] dus nog steeds niet opgelost!
Toch?
M.vr.gr,
Remmelt Visscher
-
2} nee op LAN1 heb ik gen regels staan; zou dat moeten?
Hoezo kun je dan beweren dat je alles blokkeert wat niet aan de regels voldoet. Dat moet je óf bij de diverse interfaces doen, óf bij alle interfaces zoals ik eerder schreef.
Maar wees blij dat het niet werkt. Als het wel werkt, wordt ook een substantieel van de goede mail geblokkeerd. De mail poort is de enige die ik niet blokkeer.
-
2} nee op LAN1 heb ik gen regels staan; zou dat moeten?
Nee, dat hoeft op zichzelf niet, maar standaard staat er helemaal onderaan wel een heel belangrijke keuzeknop:
"Indien niet voldaan wordt aan de regels: X Toegang toestaan.
Die zul je waarschijnlijk dan ook niet hebben aangepast.
Omdat je ervoor bij "Alle interfaces" (jou plaatje één), onderaan slechts 3 poorten specifiek hebt geblokkeerd,
naast de paar specifieke poorten die je wel toegang hebt gegeven (mail, File Station e.d.),
geef je daarmee voor alle overige poorten daarmee juist expliciet WEL toegang.
Je hebt inmiddels met de illegale inlogpogingen al gemerkt, dat dat ermee in overeenstemming is.
Kun je op verschillende manieren de Firewall aanpassen.
Vanuit jou visie in het overzicht om alles vanuit dat eerste menu te regelen bij "Alle interfaces", die laatste regel 5 aanpassen naar:
ALLE poorten - ALLE protocollen - ALLE bron IP's ----> WEIGEREN (Alles - Alles - Alles ---> weigeren)
Of.... (dat doet hetzelfde als de voorgaande regel),
Bij die secundaire interfaces (LAN 1, LAN 2....) onderaan die andere knop activeren voor:
"Indien niet voldaan wordt aan de regels: X Toegang weigeren.
In dit laatste geval kun je die hele 5e regel die je eerder hebt aangemaakt voor poorten 21, 22, 23 weglaten.
-
Thanks,
Ik ga een en ander verder aanpassen en kijken of ik nog bezoek krijg op de mailserver.
M.vr.gr,
Remmelt Visscher
-
Iedereen bedankt voor het meedenken
geen ongewenst bezoek meer gehad.
M.vr.gr,
Remmelt Visscher
-
Mooi dat het nu is opgelost. ;)
-
Niet echt opgelost, ik zie het volgende probleem nu al komen. GMail of hotmail is b.v. niet Nederlands. Ziggo zou bij storingen van hun Nederlandse mailservers hun mail tijdelijk via Oostenrijkse mailservers kunnen sturen. etc (DNS heeft Ziggo ook eens naar Oostenrijk en Gr. Brittanië verplaatst als bestrijding van een ddos aanval)
-
GMail of hotmail zijn web-gebaseerde e-mail accounts. Daarbij worden geen eigen mail-servers op een NAS gebruikt. Dat staat er dus buiten. Webpagina's worden niet geblokkeerd. Web gebaseerde e-mail accounts die elders lopen dus ook niet.
Voor versturen van e-mail gebruik je de SMTP domein-namen van je internetprovider. Afgezien van een algemene internetstoring, waarbij helemaal geen internetverkeer mogelijk is, werkelijk nog nooit meegemaakt dat ik geen mail kon versturen.
Ontvangen van mail dat de topic starter ze alleen maar vanuit Nederland wil ontvangen is een persoonlijke keus.
-
Ik gebruik voor versturen van e-mail juist niet de smtp server van mijn provider.
Ik maak al jaren gebruik van een, betaalde, server in de VS.
Mail van mij komt dus uit Amerika.
Mail filteren op maar een paar landen scheelt inderdaad een hoop inkomende post 8)
-
Uitzonderingen op de normaal gebruikelijke methoden zijn er altijd. ;)
-
Is dat een uitzondering?
Voor particulieren misschien wel maar veel bedrijven werken vast niet met de mailfaciliteiten van de provider.
Maar goed, iedereen maakt daar natuurlijk zijn eigen keuze in.
Is ook geen commentaar of kritiek, het is een puntje van overweging 8)
-
GMail of hotmail zijn web-gebaseerde e-mail accounts. …
Ehh... Als jij GMail ontvangt, heb je niets met de web applicatie van GMail te maken. Dat gaat rechtstreeks van de GMail of Hotmail smtp server naar de nas.
En GMail hoef je ook niet via een webcliënt te lezen. Ik doe het gewoon met een mailcliënt op mijn PC en telefoon. De webversie van GMail gebruik ik alleen voor het doen van account instellingen.
Het is gewoon een verkeerde gedachte dat als je mailtjes van een andere Nederlander krijgt, deze ook altijd van een Nederlandse SMTP server afkomstig zijn.
-
....veel bedrijven werken vast niet met de mailfaciliteiten van de provider.
Vraag me af of de topic starter of de meeste gebruikers hier op het forum wel een bedrijfsnetwerk hebben?
En als ze al een bedrijf hebben waarbij ze niet gebruik maken van de provider mailfaciliteiten, de hele afhandeling van websites en mail vanuit een "thuis NAS" regelen? Ik vermoed eerder bij een externe hosting provider met mogelijk eigen servers in een data-center?
(Zelf heb ik al jarenlang de hosting van enkele kleine websites en mail bij een hostingprovider ondergebracht met hun servers in Nederland).
Het is gewoon een verkeerde gedachte dat als je mailtjes van een andere Nederlander krijgt, deze ook altijd van een Nederlandse SMTP server afkomstig zijn.
Voor die uitzonderingen krijgt de topic starter dan niet diens mail.
Maar het is de vraag of de topic starter daar rouwig om is? Het lijkt me dat hij met die bewuste keuze juist zijn inkomende mail wil beperken.
Als hij bepaalde "belangrijke" mail niet ontvangt gaat een verzender vanzelf wel een keer op andere wijze contact opnemen met de topic starter (bellen??). En als die dan bij nader inzien toch diens e-mail wil ontvangen trekt hij vanzelf wel weer een keer aan de bel met een nieuw bericht hier op het forum, als hij er niet zelf uitkomt.