Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: stapper op 10 december 2023, 07:40:56
-
Hallo,
Vandaag plotseling 4 mails van de rt2600ac router.
- De verbinding van mainframe- jan met 194.187.251[.]163 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
- De verbinding van mainframe- jan met 1.215.138[.]43 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
- De verbinding van mainframe- jan met 46.246.41[.]172 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
- De verbinding van mainframe- jan met 103.67.197[.]42 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
Dat die dat blokkeert is denk ik wel goed, maar wat is er aan de hand, dit zegt me niks.
Iemand enig idee?
Bvd
-
Zoek maar eens op het Forum, aanvallen op een Router/NAS gebeurt vaker, ook als je juist goed beveiligd hebt, dat zie je immers aan de blokkering.
Foutje bedankt
-
@Birdy
Tja routers, das mijn zwakke punt, begrijp het wel wat, maar het is ingewikkelde materie.
Ik wil me er nog steeds wat meer in verdiepen, maar zijn drukke tijden momenteel.
Hoe moet ik dat dan zien?
Die safeguard die heeft geloof ik 2 databases, eentje van Google, en eentje van syno?
Daar staan dit soort adressen dan op een zwarte lijst?
En die lui doen dus een portscan, zien die nas, en voordat ze überhaupt al bij die nas komen, zegt die router wegwezen?
Dus hij doet het goed?
Reden dat ik er van schrok is dat ik er 4 tegelijk kreeg, maar zulke dingen komen wat in golven?
bvd
-
Er worden 4 IP adressen getoond, die kun je opzoeken.
https://whois.domaintools.com/194.187.251.163 België - uitgaand WAN IP adres van een VPN service - M247 herken ik als VPN service
https://whois.domaintools.com/1.215.138.43 Korea
https://whois.domaintools.com/46.246.41.172 Zweden
https://whois.domaintools.com/103.67.197.42 VietNam
Bij die gegevens staat er vaak iets bij van status = SUB-ALLOCATED of ALLOCATED PORTABLE
Dus vermoed allemaal dezelfde figuur, die naar ik denk via een VPN service probeert bij je binnen te komen?
Maar zijn eigen WAN IP-adres / identiteit daarmee niet prijs geeft.
Gezien de verschillende landen over de wereld, je zaakjes met beveiliging niet goed op orde gebracht.
-
Thanks,
Maar hoezo niet in orde?
Die router stopte hem toch gelijk?
En dan wou ik ook nog graag weten, hoe doet die dat? Hoe weet hij dat hij die moet stoppen?
Klopt het dat die ip adressen dan al in een database zitten, want anders snap ik dat dus niet.
bvd
-
Dat soort meldingen kun je gewoon negeren. Het betekend alleen dat het werkt zoals bedoeld.
Alleen als je echt nieuwsgierig bent en tijd over hebt, is het leuk om de oorzaak te vinden. Meestal gaat het huis om uitgaande verbindingen.
b.v. er komt een mail binnen met een link erin naar een domein dat op de blacklist staat. Ik merk zelf dat mailserver (waarschijnlijk het spamfilter erin) alle domeinen in de mail controleert. Dat kan al de beveiliging in de router triggeren, ook al zou mailserver deze mail direct trashen omdat het spam/phishing is.
Vaker zijn het domeinen in webpaginas (Of advertenties op webpaginas} die je bezoekt, die dit triggeren.
-
Maar hoezo niet in orde?
Die router stopte hem toch gelijk?
Sorry, wel- of niet op orde daar ga ik hier geen discussie over voeren.
(Het is naar mijn maatstaven gewoon niet genoeg op orde. Anders kreeg je dit soort meldingen niet).
14 dagen terug had je ook al een hoop gedoe met de firewall van een NAS, met nogal wat onbegrijpelijke instellingen.
De firewall van zowel een Synology router als hun NAS apparaten werken grotendeels met dezelfde basis principes.
In het onderwerp toen heb ik je naar uiterst simpele voorbeelden verwezen, hoe je zaken kunt instellen.
Die bijna één op één zijn over te nemen.
Het stuk tekst met betrekking tot die bijna één op één voorbeelden voor (toen) een NAS ---> 1. 2. 3. 4. :
Belangrijk !!
Buiten de instellingen van Firewall regels zelf, instellingen waar nog extra rekening mee te houden / aan te passen.
Aanbevelingen van Synology (voor hun routers): Snelstartgids voor beveiligingsmaatregelen. (https://kb.synology.com/nl-nl/SRM/tutorial/Quick_Start_Security_Router)
Vergelijkbare aanbevelingen "voor een NAS": Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren? (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS)
NAS: Specifieke situatie beschreven < HIER > (https://www.synology-forum.nl/firmware-algemeen/admin-aanmeldingen-vanaf-random-ip-s/msg320722/#msg320722) voor een NAS. Maar geldt vergelijkbaar ook voor een Synology router.
Verwijzingen naar een aantal voorbeelden voor instellen Firewall regels voor "een NAS":
1. < meest eenvoudige set-up zonder externe toegang > (https://www.synology-forum.nl/file-ftp-nfs-and-samba-server/kan-geen-verbinding-met-mijn-mediaplayer/msg321080/#msg321080)
2. < voorbeeld 2 > (https://www.synology-forum.nl/firmware-algemeen/er-wordt-paar-x-per-uur-geprobeerd-om-root-acsess-te-krijgen-via-ssh/msg319564/#msg319564) "Firewall regels eenvoudig beschreven:"
3. < voorbeeld 3 met OpenVPN > (https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310)
4. < voorbeeld 4 met OpenVPN + NFS protocol t.b.v. "Kodi" > (https://www.synology-forum.nl/file-ftp-nfs-and-samba-server/nas-benaderen-via-openvpn-voor-kodi/msg320798/#msg320798)
(Evt. nog een extra regel tussenvoegen voor poort 80 m.b.t. een 3-maandelijkse "Let's Encrypt" certificaat verlenging).
Je had er toen geen tijd voor (https://www.synology-forum.nl/firmware-algemeen/firewall-tutorial-gevolgd-paar-vragen/msg325573/#msg325573). Zou je nogmaals willen verwijzen naar specifiek dat onderwerp toen. (https://www.synology-forum.nl/firmware-algemeen/firewall-tutorial-gevolgd-paar-vragen/)
Vanaf het begin waarbij aanmerkingen zijn gemaakt er nu wel de tijd voor te nemen, en stap voor stap de verdere aanwijzingen.
Niet half half, want dat beklijft niet.
-
@Briolet
Nou dat bedoel ik dus, ik wou gewoon weten hoe het functioneert.
Hoe die router dat kan weten, dat hij nou net die moest stoppen, nu heb ik daar een idee van.
En idd hij deed wat die moest doen.
@Babylonia
14 dagen terug had ik niet "een hoop gedoe" ik had gewoon wat vragen.
Ik ben ook zeker van plan om tijd te steken in die aanbevelingen.
Het leven is een kwestie van prioriteiten stellen, op dit moment laten andere prioriteiten gewoon even niet toe dat die tijd er nu is.
Dit is voor mij de drukste tijd van het jaar, en ik hang de vlag uit, als we in januari zitten ;)
Ik ga er zeker naar kijken in alle rust, en hopelijk zie ik dan het licht....
-
Zoek maar eens op het Forum, aanvallen op een Router/NAS gebeurt vaker, ook als je juist goed beveiligd hebt, dat zie je immers aan de blokkering.
Je hebt de vraag niet goed gelezen. Het gaat hier niet om een aanval op router/nas. Dit zijn meldingen van het blokkeren van uitgaande verbindingen.
Sorry, wel- of niet op orde daar ga ik hier geen discussie over voeren.
(Het is naar mijn maatstaven gewoon niet genoeg op orde. Anders kreeg je dit soort meldingen niet).
14 dagen terug had je ook al een hoop gedoe met de firewall van een NAS, met nogal wat onbegrijpelijke instellingen.
Dit heeft niets te maken met een firewall of iets niet op orde hebben. Dingen zijn hier juist wel op orde. Uitgaande verbindingen worden niet door de firewall tegengehouden. Daarvoor is juist deze functie die uitgaande verbindingen controleert en eventueel blokkeert.
-
Dingen zijn helemaal niet op orde, daarvoor zou je beter ook het eerdere onderwerp van 14 dagen terug kunnen bekijken.
Zolang geen tijd wordt gestoken in een logische opbouw van netwerk gerelateerde instellingen in NAS en/of router,
kun je allerlei vreemde zaken en meldingen tegenkomen.
-
Je moet er geen andere onderwerpen bij halen dan hier genoemd worden. Deze mail meldingen worden gegenereerd voor de uitgaande verbindingen die door de router lopen.
In mijn ervaring worden die vooral getriggerd door je surfgedrag op PC of smartphone. Het heeft niets met de veiligheid van je netwerk te maken of instellingen op de router. Hooguit met de onveiligheid van je surfgedrag. En daar is deze feature juist voor, om je te beschermen als je een foute site bezoekt. Googje safe browsing of de Syno variant ervan. Zelf heb ik beide op de router aan staan en zet Google safe browsing in alle browsers uit. (Onzinnig om iets dubbel te checken)
Maar zoals eerder vermeld kan het ook veroorzaakt worden als je mailprogramma een binnenkomende phishing mail analyseert. En zonder analyse van de mail kun je niet beoordelen of hij kwaadaardig is, dus zelf kun je er weinig aan doen om dit te voorkomen.
-
Je moet er geen andere onderwerpen bij halen dan hier genoemd worden.
Dat jij dat niet doet, mag jezelf weten. Dat is jou keus.
Met het gegeven in dat andere onderwerp houd ik echter wel rekening mee. En neem dat in dit onderwerp mee.
(Verder kunnen instellingen van een firewall in een NAS in tegenspraak zijn met die in een router, en visa versa).
-
Ik heb hier 2 gebruikers, ik en mijn vrouw.
Kan me best voorstellen dat die wel eens wat aanklikt wat achteraf niet zo verstandig was.
Ik zie wel eens een mailtje voorbij komen, en dan denk ik, hij doet het goed :)
Ik heb die router gekocht vanwege "nat loopback ( zo heet dat geloof ik)
En omdat ik dan alle instellingen in mijn eigen router heb, voor het geval ik verander van ISP.
Ook vanwege safe access, en dat werkt prima, in de browser heb ik dat ook uit staan.
Verder heb ik die hele tutorial van Spacerex gevolgd over security, die man legt dat goed uit vind ik, en dat heb ik allemaal uitgevoerd.
Meer kun je niet doen, volgens mij, op die soft firewall van de nas zelf na dan.
Daar had hij ook een tutorial voor, die had ik gevolgd, werkte prima, alleen via drive ging dat niet goed.
Omdat ik straks in januari 2 maand in Thailand, Laos en Maleisië ben laat ik dat eerst even zo.
Ik wil het risico niet lopen dat als ik daar ben, dat ik niet bij mijn nas kan door een fout in de firewall .
Voor mij is de nas een hobby en ik gebruik hem zakelijk.
Ik heb mijn best gedaan alles zo veilig mogelijk te maken, en daar heb ik ook in geïnvesteerd, maar ik ben geen ict-er.
Voor mijn gevoel heb ik de zaken redelijk goed voor elkaar wat veiligheid betreft, ( op de soft firewall van de nas na), daar ga ik ook nog naar kijken later, ik doe mijn best.
-
Omdat ik straks in januari 2 maand in Thailand, Laos en Maleisië ben laat ik dat eerst even zo.
Ik wil het risico niet lopen dat als ik daar ben, dat ik niet bij mijn nas kan door een fout in de firewall.
Dat risico van je NAS niet kunnen bereiken loop je juist WEL, als instellingen niet goed doordacht zijn opgezet.
En je nu al aanloopt tegen onbegrijpelijke blokkeringen, juist vanuit of naar "Verweggistan", waarvan je niet weet wat het inhoud.
Met hetzelfde gemak als je straks zelf in Verweggistan zit, blokkeert het mogelijk een connectie met / vanuit je NAS?? En dan?
Als ik vanuit dat eerdere onderwerp (https://www.synology-forum.nl/firmware-algemeen/firewall-tutorial-gevolgd-paar-vragen/msg325559/#msg325559) al heb opgemerkt dat je "klakkeloos", zonder kennelijk te begrijpen waar je mee bezig bent,
instellingen gebruikt waarbij je in de NAS subnet masks instelt om 3 reeksen LAN bereiken
meer dan 16 miljoen + 1 miljoen + 65.000 lokale thuis IP-adressen op te nemen als workflow. Lijkt me voor twee personen thuis,
een paar handjes vol thuis apparaten wat je misschien gebruikt, mogelijk slechts één netwerk in gebruik, geen logische instellingen.
Je benoemt ene "Spacerex". Alleen een naam, verder geen URL, niets. Dat is voor ons niet controleerbaar.
Moeten wij maar gissen wat dat inhoud?
Wat jij als informatie in je hoofd hebt, dat weten wij niet. Jij moet ons informeren wat je aan instellingen gebruikt. Dat is het enige wat telt.
Als je al externe bronnen wilt aanhalen, dan meteen met een link erbij naar de betreffende webpagina's / URL's waar die info is te vinden.
(Wat begrijp je niet aan info binnen ons eigen forum aan tutorials / voorbeelden waar expliciet naar is verwezen met URL's?)
Verder wat voor jou situatie geldt, is om alle relevante zaken zo compleet mogelijk aan info te verstrekken, geen "halve" informatie.
In dat eerdere onderwerp heb je het alleen over een Firewall in de NAS, maar rep je met geen woord over het gebruik van de Synology router,
met eveneens ook daarin een firewall, waarvan wij niet kunnen weten wat je daarin dan weer hebt ingesteld?
(Welke SRM versie gebruik je daarbij, want instellingen in SRM 1.2.5 zijn "anders" dan binnen SRM 1.3.x).
Moeizaam proces zo, om voor je vertrek in januari zekerheid te hebben of alles wel werkt zoals bedoeld?
Is het een idee om via persoonlijk contact met een TeamViewer (https://www.teamviewer.com/nl/) gerelateerde sessie, de instellingen eens na te lopen?
Je zou dan een persoonlijke bericht kunnen sturen via de "persoonlijk bericht" knop.
-
Man is bij de meeste hier wel bekend dacht ik.
Wat dat betreft met die firewall, tja die heeft die natuurlijk globaal opgezet, zodat iedereen er gebruik van kan maken.
Dacht trouwens dat ik die link erbij dat topic over die firewall wel bij had staan.
Nou ja als je een keer tijd/zin hebt? Dan ben ik daar wel voor in..thanks
-
Man is bij de meeste hier wel bekend dacht ik.
Of die man bij "de meesten" wel of niet bekend is, doet feitelijk niet ter zake.
Als jij problemen hebt, ben jij degene die ons van "alle" relevante informatie moet voorzien. Niet andersom, dat bij het noemen
"van een naam", anderen zouden moeten gaan uitzoeken, om te begrijpen wat jij bedoelt, (of hopen dat zij diens info kennen?).
En dan ook nog eens een keer de moeite daarin zouden moeten steken om filmpjes of wat al dies meer zij door te moeten nemen.
Overigens in zijn filmpje benoemt hij wel degelijk, dat je beter je eigen gebruikte netwerk subnetten instelt ( "specifically add yours" ).
En dat is alleen NAS, geen instellingen binnen een Synology router (met tevens instellingen voor uitgaand verkeer).
En de combinatie van die twee, die maakt of het "geheel" goed functioneert.
-
@Babylonia Heb je even een pm gestuurd. ;)
-
Even inhaken op dit topic omdat ik er vannacht vanaf 3 uur ook velen kreeg:
De verbinding van iMac-DDR2 met 192.229.221[.]95 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
Verzonden door uw Synology Router- SynologyRouter
Allemaal hetzelfde IP en een paar per uur. Het vreemde is echter dat dit een PC is die in slaapstand staat. Hij wordt alleen af en toe wakker voor mail ophalen en nog een paar taken. (De powernap stand van de iMac)
Meestal wordt er al geblokkeerd op het niveau van het ophalen van het IP via DNS. En omdat er een DNS server op de nas draait, krijg ik altijd de melding dat de nas geblokkeerd is. Ik moet dan de logging van de DNS server op uitgebreid zetten om er achter te komen welke PC dit DNS verzoek deed.
En sinds vanochtend probeert mijn hele netwerk met dat zelfde externe IP te verbinden. Een andere iMac die hier staat en mijn laptop (een MacBook).
Dan vraag ik me af of dit niet een onterechte melding is en dat dit IP hoort bij een update proces van Apple?
-
Geen idee, ik doe niets met Apple. (Heb dus ook niet dit soort meldingen).
Staat er een update in de planning voor Apple apparatuur??
-
Het IP behoort toe aan de Edgecast (https://en.wikipedia.org/wiki/Edgecast) groep. Een bedrijf dat in de multimedia zit.
Tot 11 uur vanochtend kwamen die verbindingspogingen om de paar minuten vanuit 1 iMac en een paar keer vanuit de andere iMac en de MacBook. Sindsdien zijn ze gestopt. Vooral omdat het 3 apparaten betreft, is of mijn hele netwerk plots besmet (Onwaarschijnlijk) of dit IP wordt plots ten onrechte door Synology geblokkeerd.
-
Op het Engelstalige Synology forum inmiddels ook een vergelijkbare melding m.b.t. "Apple"
https://community.synology.com/enu/forum/2/post/185430
En een verwijzing naar https://knowledge.digicert.com/alerts/new-dedicated-ip-addresses
-
Dank. Ik heb mijn reactie daar ook maar toegevoegd.
Dat is dus een IP van DigiCert. En specifiek het adres dat gebruikt wordt om te beoordelen of een certificaat niet voortijdig is ingetrokken. Het maakt de boel dus juist gevaarlijker als ze de blokkade toepassen want meestal is ingesteld een certificaat te accepteren als de controle niet lukt.
Dit heeft Synology nu al twee keer eerder gedaan. De vorige keer bij de controle van Let's Encrypt certificaten. De eerste keer heb ik er een ticket voor ingediend, maar Synology heeft daar toen zo laconiek op geantwoord dat ik merkte dat ze beveiliging niet echt serieus nemen.
Dit soort IP's komt op de blacklist omdat criminelen ook dergelijke certificaten gebruiken, waardoor er een -onterechte- link gelegd wordt tussen de criminele site en het IP om een certificaat te beoordelen. Als de certificaathouder zo'n uitgeven certificaat nu snel intrekt als het misbruik blijkt, dan blokkeert Synology het systeem om deze intrekking waar te nemen.
-
Als ik het IP van de OSCP van Digicert opvraag, krijg ik:
ocsp.digicert.com
ocsp.digicert.com is an alias for ocsp.edge.digicert.com.
ocsp.edge.digicert.com is an alias for fp2e7a.wpc.2be4.phicdn.net.
fp2e7a.wpc.2be4.phicdn.net is an alias for fp2e7a.wpc.phicdn.net.
fp2e7a.wpc.phicdn.net has address 192.229.221.95
Ik had al in mijn uitzondelinglijst gezet (Zie deze post (https://www.synology-forum.nl/synology-router/false-positive-phishing-meldingen-met-fp2e7a-wpc-2be4-phicdn-net/msg320447/#msg320447)):
fp2e7a.wpc.2be4.phicdn.net
fp2e7a.wpc.phicdn.net
Die twee keer waren het de alias domeinnamen die op de blocklist kwamen. Nu het IP zelf. Ik zal die laatste groene ook maar op mijn uitzonderingslijstje zetten, anders is het binnenkort weer raak.
-
Jij bent er beter in thuis. Ik neem het voor kennisgeving aan.
Misschien dat er vanuit dat Engelstalige forum daar vanuit Synology dan nog een reactie op komt, of er iets mee gaan doen??
(Dat wordt beter gevolgd, dan hier). En het hopelijk was serieuzer wordt opgepakt dan in het verleden.
-
@Babylonia super bedankt voor alle hulp hier, met de firewall
zeer gewaardeerd, helemaal top :!:
-
Ik kreeg vanochtend een onterechte melding:
De verbinding van DS415-port-A met mailbnc209.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Social engineering).
Belgacom is gewoon een reguliere Belgische mailprovider. En gelijktijdig met deze mail, kwam er ook een mailtje binnen van een belgische relatie. En als ik in de header kijk, was deze precies vanaf het geblokkeerde adres verzonden.
Received: from mailbnc209.isp.belgacom.be (unknown [195.238.22.243]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by xxxxxxx.nl (Postfix) with ESMTPS id 72500ADAEA for <info@xxxxxxx.nl>; Mon, 4 Mar 2024 07:11:22 +0100 (CET)
Een geluk bij een ongeluk: Het blokkeren van de router werkte niet eens en de mail kwam gewoon binnen vanaf dat adres. Moet ik nu blij zijn of niet? Want als dit een echt kwaadaardig mailtje was, dan had de router hem niet geblokkeerd, zoals beloofd.
-
Er spelen wel eens meer onverwachte meldingen, ook buiten een router om.
Laatst hier m.b.t. web-mail bij een provider. (Mail-server bij provider ondergebracht).
Kreeg ik een melding dat een mail niet zou worden ontvangen door de afzender. En dat nog 24 of 48 uur zou worden geprobeerd.
Kreeg evenwel gewoon een antwoord terug van de andere partij. Ondanks erna nog een keer een foutmelding.
Dataverkeer wordt steeds gecompliceerder in de mate van beveiliging en "hacks", waarbij een bitje ergens verkeerd valt?
-
Zojuist kreeg ik weer twee onterechte mailtjes van "Safe access"
De verbinding van GEDEELDEDATA met mailbnc209.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Ongewenste software).
en
De verbinding van DS415-port-A met mailbnc209.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Social engineering).
Deze mailtjes kwamen gelijktijdig met het binnenkomen van een echt mailtje van belgacom. Wat dat betreft werkt Safe Access niet in het blokkeren van deze 'dreiging'.
Opvallend is dat er twee verschillende redenen genoemd worden. NB Beide genoemde verbindingen zijn mijn nas. Soms komt de naam van de nas in de mailtjes en soms de naam van één van beide poorten. Geen idee waarom dit steeds varieert. Ik zie ook wel eens het mac adres in de mail.
Ik gok dat belgacom weer op de lijst staat omdat hiervandaan spam is verstuurd. "mailbnc209.isp.belgacom[.]be" is het helo adres van de belgacom mailserver. De domeinnaam van de mail was overigens "Skynet.be"
Ik heb dit nu toch maar op de uitzonderingslijst gezet. Als de reden is dat er spam verstuurd is door Belgacom, is dit meer de taak van mijn spamfilter.
-
Af en toe krijg ik ze ook nog, altijd dezelfde, en voor zover ik dat kan zien niks mis mee.
Komen dan kennelijk binnen via de mobiel van mijn vrouw en mijn eigen pc.
Bouwde net zelf die nieuwe pc en ging over naar w11 pro, dat duurde even voordat het wat naar de zin was, en alles weer draaide.
Zo'n safe acces draait natuurlijk een enorme database, die ze dan ook nog constant moeten updaten en onderhouden.
Dus daar zal ook af en toe wel eens iets op een blacklist komen, of juist niet, wat dus feitelijk een fout is.
Ik denk dat de gebruiker dan zelf maar moet beslissen wat wijsheid is.
Verder draait het wat mij betreft allemaal super, en al helemaal nadat babylonia mij een keer heeft geholpen met die firewall regels.
Das helemaal top, want ik ben gewoonweg niet thuis in die materie, ip nummers, subnetten, ik loop daarin vast, het is mijn ding niet.
Ik kijk er wel eens naar, van wat klopt er allemaal aan mijn deur? En dan schrik je wel, maar zolang het niet voorbij die deur komt zit ik goed, denk ik dan.
En zo zal het met safe acces ook wel zijn, het is een extra laag van bescherming, maar 100% sluitend zal het nou eenmaal nooit zijn.
-
Storend vind ik alleen dat ik een mail krijg dat dit adres geblokkeerd is, maar dat de mail vanaf dat specifieke IP adres nog gewoon binnen komt. In dit geval handig omdat de melding onterecht is, maar niet erg vertrouwenwekkend in het goed blokkeren.
-
das waar, want bij mij is het ook steeds hetzelfde ip nummer...
dus als die dat geblokt had, was het niet weer opgedoken.
-
Volgens mij wordt alleen het opvragen van het correcte IP nummer bij een hostnaam geblokkeerd en niet de verbinding met het IP nummer zelf.
Bij het binnenkomen van de mail wordt gecontroleerd of het IP waar de HELO naam naar verwijst, ook het IP van de verbinding is.
warning: hostname mailbnc209.isp.belgacom.be does not resolve to address 195.238.22.243
connect from unknown[195.238.22.243]
Anonymous TLS connection established from unknown[195.238.22.243]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Normaal wordt gelogd:
connect from mailbnc205.isp.belgacom.be[195.238.22.239]
Anonymous TLS connection established from mailbnc205.isp.belgacom.be[195.238.22.239]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Als ik tijdens het blokken handmatig het IP resolve, zie ik dat de router een IP uit de reeks 10.x.x.x terug geeft. Het blijft echter vreemd dat de mail niet wegens een andere reden tegengehouden wordt omdat ik in mailserver ingesteld heb dat hij de HELO naam moet controleren. Op grond van het falen van de HELO-check had mailserver de mail moeten blokkeren.