MailPlus Interner Verkehr von MailPlus zu Client und MailPlus Server zu Mail Gateway wird von unifi Firewall geblockt

[FR_NAS]

Hallo zusammen,

ich betreibe für ein kleines privates Hobby Projekt einen MailPlus Server. Das ganze funktioniert seit langem sehr gut. Ich habe mir jetzt etwas Zeit genommen, mich mit dem Thema Sicherheit diesbezüglich zu beschäftigen und habe folgende Änderungen vorgenommen:

• Eingehende Mails nimmt ab jetzt ein Proxmox Mailgateway (PMG) entgegen, so dass der MailPlus Server an sich nicht mehr über das Internet erreichbar ist, das PMG läuft auf einer VM auf einem Synology NAS).
• MailPlus betreibe ich jetzt auch in einem virtuellen DMS
• Für den Abruf wird ausschließlich Webmail genutzt (Mobile MailPlus App und Browser), ausschließlich intern und über VPN
• Ausgehende Mails gehen - wie bisher auch - ausschließlich über ein MailRelay bei meinem Hoster raus
• Das Mailgateway und der Mailserver sind in jeweils separaten VLANS
• In der Firewall (Unify Gateway) habe ich folgende Regeln eingerichtet:
  • Allow Established/Related für ALLE
  • Allow Mailgateway to MailPlus Server auf Port 25
  • Allow VPN und Default LAN zu MailPlus WebmailPort
  • BLOCK alle anderen Verbindungen von PMG
  • BLOCK alle anderen Verbindungen von MailPlus

Es funktioniert auch alles, eingehende Mails werden auf dem Server zugestellt und ich kann den Webmailer mit allen Clients im lokalen Netz aufrufen. Aber im Log der Firewall, sehe ich, dass es eine Reihe Verkehr von dem virtuellen NAS, auf dem der MailPlus Server betrieben wird sowohl zum Mailgateway, als auch zu den Clients geblockt wird, von der letzten Regel. Da ja alle Dieinste funktionieren, frage ich mich was für Verkehr das sein kann und ob ich hier in den Firewall Regeln noch etwas einrichten müsste, damit es funktioniert? Ist vermutlich eher relevant für die Firwall und damit für ein Unify Forum, wollte aber dennoch auch hier mal fragen, vielleicht hat jemand ja MialPlus spezifische Erkenntnisse, wie man das optimal einrichten kann.

 

[metalworker]

Schönes Projekt .
Hatte mir das auch mal mit dem PMG überlegt, bin aber dann doch beim Pop3 Abruf übern Provider geblieben.

Was genau blockt die Firewall denn?
Nur dann kann man ja sagen was man freischalten müsste.
Aber grundlegend , wenn alles geht würde ich das lassen.

Die Sense bei mir Daheim und in der Firma blockt auch sehr viel. Das meiste sind ja so kleine Statusabfrage und nach Haus anrufe von verschiedenen diensten.

 

[FR_NAS]

@metalworker: Danke für die rasche Antwort. Das PMG aufzusetzen ging überraschend einfach. Das war wirklich kein nennenswertes Problem und die SPAM Filterung ist wirklich erheblich besser als in MailPlus.

Hier ein Auszug aus dem Log zu einem geblockten Verkehr von MailPlus zu Mailgateway (PMG):

Blocked By
Name: BLOCK all other Mailgateway
TypeFirewall Rule

Client: MailPlus
Counterpart: [IP vom PMG]

Traffic Info

Source IP Address: [IP vom MailPlus Server]
Source Port: 25

Destination IP Address: [IP vom PMG]
Destination Port: 59650

Hier ein Auszug aus dem Log zu einem geblockten Vekehr von MailPlus zu Client:

Blocked By
Name: BLOCK Other local Mailserver-external
TypeFirewall Rule

Client: MailPlus
Counterpart: [IP des Clients im Default LAN]

Traffic Info

Source IP Address: [IP vom MailPlus Server]
Source Port5001   [Port des DSM]
Destination IP Address: [IP des Clients im Default LAN]
Destination Port: 59887

Hier noch ein verkürzter Auszug aus dem Log eines geblockten Verkehrs von MailPlus zu einem mobilen VPN Client mit der MailPlus App

Traffic Info

Source IP Address: [IP vom MailPlus Server]
Source Port: [Port des MailPlus Webmailers]
Destination IP Address:[IP-Adresse des VPN Clients (nutzt die Synology MailPlus App auf Iphone)]
Destination Port: 61238