Auteur Topic: Mail geblokkeerd (Maar niet echt)  (gelezen 893 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Mail geblokkeerd (Maar niet echt)
« Gepost op: 22 november 2024, 12:49:04 »
Ik kreeg gisteren een mailtje binnen en gelijktijdig twee mailtjes van mijn router dat deze mail geblokkeerd was.

Citaat
Mail A
De verbinding van DS415-port-A met mailbnc112.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Ongewenste software).

Mail B
De verbinding van DS415-port-A met mailbnc112.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Social engineering).

Uit nieuwsgierigheid zat ik net te analyseren hoe deze melding gegenereerd wordt en waarom de mail gewoon binnen komt.  Voor anderen die dit misschien ook leuk vinden geef ik hier even mijn conclusie.

De router blokkeert dergelijke verbindingen niet echt, maar zorgt er alleen voor dat de DNS opvragen geblokkeerd worden. Voor uitgaande verbindingen kan hij dan geen IP adres opvragen bij een domeinnaam. Als je het IP adres zelf hebt, dan wordt er niets geblokkeerd.

Uit de header van de mail:

Citaat
Received: from mailbnc112.isp.belgacom.be (unknown [195.238.20.246]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by ......

In de header staan zowel het IP als de domeinnaam. Maar het mail programma weet eigenlijk alleen het IP adres waar de mail vandaan komt. De domeinnaam haalt hij op via een reverse DNS opvraag zodat hij er een naam in de mail bij kan zetten. En die reverse DNS opvraag van een IP aderes blijft werken zoals het volgende host commando laat zien:

% host 195.238.20.246
246.20.238.195.in-addr.arpa domain name pointer mailbnc112.isp.belgacom.be.

Probeer ik via het host commando het IP te achterhalen dan krijg ik:

% host mailbnc112.isp.belgacom.be
mailbnc112.isp.belgacom.be has address 10.254.5.2

Dat IP "10.254.5.2" is een IP adres van de router zelf en niet het correcte IP adres. Dit host commando genereert ook weer een nieuwe blokkeringsmail van de router.

Als ik verder in de header kijk, dan vind ik over de spf test:

Citaat
Received-Spf: pass (skynet.be: Sender is authorized to use 'xxxxx@skynet.be' in 'mfrom' identity (mechanism 'include:ispmail.spf.secure-mail.be' matched)) receiver=GedeeldeData; identity=mailfrom; envelope-from="xxxxx@skynet.be"; helo=mailbnc112.isp.belgacom.be; client-ip=195.238.20.246

Dat domein wordt ook als 'helo' adres meegegeven en onderdeel van het mailproces is om te kijken of het helo adres naar het juiste IP wijst. Dus hier wordt dan wel een DNS opvraag gedaan die door de router geblokkeerd wordt. De RDNS (= reverse-DNS) check van de helo faalt dus. Maar hier telt dat alleen mee voor de spamscore:

Citaat
X-Mailscanner-Spamcheck: geen spam, SpamAssassin (not cached, score=1.077, vereist 3, DKIM_SIGNED 0.10, DKIM_VALID -0.10, DKIM_VALID_AU -0.10, DKIM_VALID_EF -0.10, HTML_MESSAGE 0.00, RCVD_IN_DNSWL_BLOCKED 0.00, RCVD_IN_VALIDITY_RPBL_BLOCKED 0.00, RCVD_IN_VALIDITY_SAFE_BLOCKED 0.00, RDNS_NONE 1.27, SPF_HELO_PASS -0.00, SPF_PASS -0.00, URIBL_BLOCKED 0.00)

Ik krijg vaak mail van deze afzender en normaal, als er niets geblokkeerd wordt, schrijft hij bij de spamcheck:

Citaat
X-Mailscanner: Found to be clean

Dan laat hij de gedetailleerde gegevens van SpamAssassin weg.

Conclusie: De meldingen van de router zijn verwarrend en worden alleen gegenereerd door de extra checks van de mailserver.  Ze verhogen wel de spamscore en een reeds verdacht mailtje kan dan de spam drempel overschrijden en echt tegengehouden worden. (Of in de spamfolder terechtkomen)

Conclusie2:  Belgacom laat weer te veel spammers toe op zijn netwerk, waardoor andere Belgacom gebruikers ook last kunnen krijgen van een "onbetrouwbaare afzender".
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Mail geblokkeerd (Maar niet echt)
« Reactie #1 Gepost op: 23 november 2024, 01:53:57 »
Conclusie: De meldingen van de router zijn verwarrend en worden alleen gegenereerd door de extra checks van de mailserver.....

Aardig uitgezocht, maar ik weet eigenlijk niet wat ik ervan moet denken, of wat je er aan hebt?

Je gebruikt nog een Synology router model  RT1900ac,  waarvan de SRM firmware software inmiddels is verouderd en  "End of Life".
https://kb.synology.com/nl-nl/WP/Software_Life_Cycle_Policy/3#x_anchor_idb111f8821b

62825-0

Daarnaast uit eerdere berichten gebruik je een aparte DNS-server geïnstalleerd op een NAS  (en niet het pakket van de router).
En dan nog een "Reverse Proxy"  m.b.t.  instellingen ingeregeld op een NAS.

In hoeverre blijven dit soort functies over verschillende apparaten verdeeld, met mogelijk niet meer sluitende software.
Nog correct werken in samenwerking met elkaar, in de stand van zaken "NU" ??     Of met andere woorden.
Dat er zaken misschien wel eens anders kunnen uitpakken dan verwacht of berichten verwarrend kunnen zijn, verbaast me eigenlijk niet.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline RicoK

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 31
  • Berichten: 289
Re: Mail geblokkeerd (Maar niet echt)
« Reactie #2 Gepost op: 23 november 2024, 18:34:09 »
Je gebruikt nog een Synology router model  RT1900ac,  waarvan de SRM firmware inmiddels is verouderd en  "End of Life".

Excuses voor het geval ik wijsneuzerig mocht overkomen, maar jij noemt SRM ‘firmware’, maar is dit wel zo? Naar mijn mening is dit, of het nu SRM of DSM is, een OS is dit derhalve geen firmware.
  • Mijn Synology: DS224+
  • HDD's: 2x WD40EFZX
  • Extra's: D4NESO-2666-4G
DS224+ met 2x WD40EFZX, DS118 (externe back-up) met WD30EZRS en RT6600ax

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Mail geblokkeerd (Maar niet echt)
« Reactie #3 Gepost op: 23 november 2024, 19:03:32 »
Nou ja, firmware - operating system.  De "software" overlapt elkaar nog wel eens.
Ik zal het voor de goede orde aanpassen.   ;)
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: Mail geblokkeerd (Maar niet echt)
« Reactie #4 Gepost op: 23 november 2024, 22:58:36 »
…Daarnaast uit eerdere berichten gebruik je een aparte DNS-server geïnstalleerd op een NAS  (en niet het pakket van de router).
En dan nog een "Reverse Proxy"  m.b.t.  instellingen ingeregeld op een NAS.…

Deze feature zal ook op de laatste firmware zo werken en ook met een standaard DNS server.

De threat-prevention  functie probeert eigenlijk alleen uitgaand verkeer te frustreren door de DNS opvragen te blokkeren en hiervan dan een melding maken via mail. Ook met een eigen DNS server word 99,9% van de DNS verzoeken extern opgehaald en dus geblokkeerd. Alleen de zelf gedefinieerde domeinen blijven intern.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

KPN-mail

Gestart door erik538Board Mail Station

Reacties: 12
Gelezen: 7250
Laatste bericht 10 maart 2011, 12:00:42
door whoopi
Geen mail meer na update Airport Extreme

Gestart door SnadertBoard Mail Server

Reacties: 5
Gelezen: 1345
Laatste bericht 27 juni 2017, 14:32:35
door Erwin1
mail doorsturen naar andere user binnen NAS

Gestart door Joost van der LeedenBoard Mail Station

Reacties: 7
Gelezen: 2942
Laatste bericht 19 november 2014, 23:05:35
door Joost van der Leeden
Mail station onbereikbaar <ip>/mail geeft error 500

Gestart door ernst.te.brakeBoard Mail Station

Reacties: 0
Gelezen: 2659
Laatste bericht 23 juli 2016, 13:37:33
door ernst.te.brake
E-mail via Thunderbird met DS218+

Gestart door GensNetBoard Mail Server

Reacties: 16
Gelezen: 4009
Laatste bericht 03 februari 2020, 22:38:01
door GensNet