MailPlus Server MailPlus Server – Authentifizierung über Port 25 verhindern, aber nur 587 zulassen

[fliggmode]

Hallo zusammen,

ich habe ein Problem mit meinem Synology MailPlus Server und hoffe, dass jemand eine Lösung hat.

Ich möchte verhindern, dass sich Benutzer über Port 25 authentifizieren können. Stattdessen soll die Authentifizierung ausschließlich über Port 587 erfolgen. Leider gibt es in den MailPlus-Server-Einstellungen keine Option, um dies explizit festzulegen.

Folgendes habe ich bereits versucht:

1. Deaktivierung von SMTP für Port 25
   • Wenn ich in den MailPlus-Server-Einstellungen das Häkchen bei „SMTP aktivieren“ für Port 25 entferne, sind auch die Optionen für SMTP-SSL und SMTP-STARTTLS ausgegraut.
   • Das ist keine Lösung, da ich weiterhin E-Mails von externen Mailservern empfangen können muss.
2. Bearbeiten der master.cf
   • Ich habe in der Datei /var/packages/MailPlusServer/target/etc/master.cf die Zeilen für Port 25 angepasst, sodass dort ohne Authentifizierung gearbeitet wird.
   • Nach dem Neustart des MailPlus Servers wurden meine Änderungen jedoch wieder überschrieben.
3. Firewall-Regeln getestet
   • Ich kann den Zugriff auf Port 25 von externen IPs nicht einfach blockieren, weil dann keine E-Mails von anderen Mailservern ankommen würden.
   • Außerdem nutzt der Angreifer bei jedem Login-Versuch eine andere IP, sodass IP-Blockierung nichts bringt.

Hat jemand eine Idee, wie ich erreichen kann, dass Port 25 nur für den Empfang von Mails genutzt wird, aber keine Authentifizierung erlaubt?
Oder gibt es eine Möglichkeit, meine master.cf-Änderungen dauerhaft zu speichern?

Ich freue mich über jede Hilfe!

Viele Grüße

 

[Thorfinn]

An port 25 identifiziert sich keiner. Da darf jeder Post einwerfen.
Vor deinem Briefkasten vor deiner Haustür findet auch keine Ausweisskontrolle statt.
Genauso wie man in deinen Briefkasten eine Plastktüte mit Chinaböller und Hundescheisse schmeissen kann, kann man an Port 25 digitale Fäkalien abliefern.

Port 587 ist für SMTPS, also verschlüsselte Kommunikation (nur Briefe in Umschlägen und keine Postkarten die der Postbote mitliest).
Authentifizierung ist da nicht. Digitalfäkalien kommen da immer noch an. Und natürlich kommt das von immer anderen IP Adressen. Diejenigen die Chinaböller in Briefkästen werfen laufen ja auch nicht direkt nach Hause.

öffentliche eMail Server selber betreiben ist ein Heidenaufwand. Bei den Preisen der Hostern habe ich aufgehört zu überlegen.

 

[synfor]

Port 587 ermöglicht sowohl verschlüsselte, als auch unverschlüsselte Verbindungen. Außerdem ist dort eine Authentifizierung obligatorisch. Die Verbindung wird unverschlüsselt aufgebaut und erst per Kommando (STARTTLS) die Verschlüsselung eingeleitet. STARTTLS will man inzwischen aus Sicherheitsgründen aber nicht mehr und benutzt daher besser Port 465.

 

[fliggmode]

An port 25 identifiziert sich keiner. Da darf jeder Post einwerfen.
Vor deinem Briefkasten vor deiner Haustür findet auch keine Ausweisskontrolle statt.
Genauso wie man in deinen Briefkasten eine Plastktüte mit Chinaböller und Hundescheisse schmeissen kann, kann man an Port 25 digitale Fäkalien abliefern.

Port 587 ist für SMTPS, also verschlüsselte Kommunikation (nur Briefe in Umschlägen und keine Postkarten die der Postbote mitliest).
Authentifizierung ist da nicht. Digitalfäkalien kommen da immer noch an. Und natürlich kommt das von immer anderen IP Adressen. Diejenigen die Chinaböller in Briefkästen werfen laufen ja auch nicht direkt nach Hause.

öffentliche eMail Server selber betreiben ist ein Heidenaufwand. Bei den Preisen der Hostern habe ich aufgehört zu überlegen.

Mein Hauptproblem ist, dass ich regelmäßig Angriffe auf Port 25 feststelle. Dabei versuchen Angreifer, sich über diesen Port zu authentifizieren, was der Synology MailPlus Server standardmäßig zulässt. Das widerspricht den üblichen Best Practices, da Port 25 eigentlich nur für den Empfang von E-Mails von anderen Mailservern gedacht ist und keine Authentifizierung erlauben sollte.

Ich kann Port 25 nicht einfach in der Firewall blockieren, da dieser für den Empfang von E-Mails von externen Mailservern zwingend offen bleiben muss. Das ist auch der Grund, warum ich hier keine IP-basierte Blockierung nutzen kann, die Angriffe kommen von immer wechselnden IP-Adressen.

Im Gegensatz dazu wird Port 587 für authentifizierte Verbindungen genutzt. Dieser Port kann in der Firewall eingeschränkt werden, sodass nur bestimmte IP-Bereiche oder vertrauenswürdige Clients Zugriff haben. Das macht ihn deutlich sicherer für die Authentifizierung.

Leider erlaubt der Synology MailPlus Server standardmäßig die Authentifizierung über Port 25, was diese Angriffe überhaupt erst möglich macht. Mein Ziel ist es daher, die Authentifizierung ausschließlich auf Port 587 zu beschränken und Port 25 nur für den Empfang von E-Mails ohne Authentifizierung zu nutzen. Bisher habe ich jedoch keine Möglichkeit gefunden, dies dauerhaft zu konfigurieren, da Änderungen an der master.cf-Datei bei einem Neustart überschrieben werden.

Hier ein Ausschnitt meiner Logs

 

[fliggmode]

Port 587 ermöglicht sowohl verschlüsselte, als auch unverschlüsselte Verbindungen. Außerdem ist dort eine Authentifizierung obligatorisch. Die Verbindung wird unverschlüsselt aufgebaut und erst per Kommando (STARTTLS) die Verschlüsselung eingeleitet. STARTTLS will man inzwischen aus Sicherheitsgründen aber nicht mehr und benutzt daher besser Port 465.

Nach meinem Wissen sollte für die beste Sicherheit und Kompatibilität Port 587 für die Client-Authentifizierung verwendet werden. Port 465 ist für diesen Zweck nicht mehr offiziell zugewiesen, da er für andere Dienste reserviert ist; es kann daher zu Konflikten kommen.

 

[ottosykora]

Mein Hauptproblem ist, dass ich regelmäßig Angriffe auf Port 25 feststelle.

ich frage mich nur was dich daran stört?

Das Problem haben wohl alle anderen Mailserver weltweit auch und laufen trotzdem.


Vielleicht kann dein Server einfach die Mails selber aktiv abholen bei den Providern und nicht einfach gleich voll im Netz hängen?

 

[fliggmode]

ich frage mich nur was dich daran stört?

Das Problem haben wohl alle anderen Mailserver weltweit auch und laufen trotzdem.


Vielleicht kann dein Server einfach die Mails selber aktiv abholen bei den Providern und nicht einfach gleich voll im Netz hängen?

Diese Angriffe auf Port 25 sind nicht unvermeidbar, sondern resultieren aus den unzureichenden Konfigurationsmöglichkeiten des Synology MailPlus Servers. Ich bin mir bewusst, dass öffentliche Mailserver grundsätzlich ein gewisses Angriffspotenzial mitbringen. Aber das Problem hier ist hausgemacht.
Mein Anliegen ist bei vielen anderen Mailserver-Lösungen Standard.

Das ist schlichtweg schlechte Softwaregestaltung und sollte nicht als „normal“ abgetan werden.

Es handelt sich hierbei um eine kleine Änderung in der Software, die jedoch einen großen Einfluss auf die Sicherheit und Benutzerfreundlichkeit des MailPlus Servers hätte.

 

[fliggmode]

Ich nutze den MailPlus Server ausschließlich in Kombination mit dem MailPlus Webclient. Das bedeutet, dass ich keine externen Clients habe, die sich über Port 25 authentifizieren müssen.
Wenn es eine Möglichkeit gäbe, die Authentifizierung auf Port 587 zu beschränken, könnten die Angriffe auf meinen Server praktisch auf null reduziert werden.
Port 25 könnte weiterhin für den Empfang von E-Mails von anderen Mailservern genutzt werden, ohne dass er für Authentifizierungen offen bleibt.

 

[Amigamaverik]

Warscheinlich habe ich das einfach hier komplett überlesen oder mache einen Gedankenfehler.
Wenn ich die Logs sehe kannes doch eigentlich nur sein das die von außen bis zu der Synology kommen, also der port bis zu der weitergeleitet wurde.
Aber das muss doch gar nicht sein, der Mailclient holt von innen ab, der Smtp verschickt nur nach außen. Dazwischen ist die Firewall, die alles von außen blockiert. Wenn also der Mailserver von außen gar nicht zu erreichen ist wieso dann die ganzen Angriffe?
Wenn ich in den Logs hier schaue, hier ist auch nur der normale mailserver am laufen, geht alles bis zur firewall aber nicht weiter.

Klärt mich mal auf falls ich falsch liege.

 

[ottosykora]

@Amigamaverik
Ja, aber wenn jemand halt versucht einen vollständigen Mailserver zu betreiben, (wovon immer stark abgeraten wird) dann braucht er 25 voll offen weil Mailserver auf der Welt halt mit 25 untereinander kommunizieren.

Aber darum wird hier von solchen Spielen abgeraten und es gibt niemand wirklich Support für so was.

 

[fliggmode]

Es geht nicht darum, Port 25 zu schließen, sondern die Client-Authentifizierung dort zu deaktivieren. Deine Antwort ist nicht nur am Thema vorbei, sondern auch völlig unqualifiziert.
Ich "versuche" nicht, einen Mailserver zu betreiben, ich betreibe einen Mailserver effizient und sicher. Was mich daran hindert, ihn weiter zu optimieren, sind die eingeschränkten Einstellungsmöglichkeiten des MailPlus Servers.

Synology bewirbt MailPlus als professionelle Lösung, also erwarte ich auch professionelle Konfigurationsmöglichkeiten.

Wenn du nichts Konstruktives beizutragen hast, wäre es besser, solche Kommentare zu lassen.

 

[fliggmode]

Ich habe den Synology Support kontaktiert und eine Antwort erhalten, die meine Anfrage als Feature Request aufgenommen hat.


Damit ist das Thema für mich vorerst erledigt, und ich hoffe, dass diese Funktion in einem zukünftigen Update implementiert wird.

 

[NSFH]

Danke für deinen Beitrag! Auf diese Crux bin ich noch gar nicht gestossen. Beschäftige mich gerade erstmalig mit dem Mailserver weil ein Kunde Exchange rausschmeisst da viel zu teuer.
Ich beabsichtige allerdings nur eine Mailweiterleitung vom Domainbetreiber auf mailplus, um dessen Security nutzen zu können und um den Administrationsaufwand so niedrig wie möglich und Sicherheit so hoch wie möglich zu halten.
Ich würde in einer Testphase schon im Router per Firewall nur die IP des Domainhosters und entsprechende Ports frei geben. Damit wäre die Nutzung aller Mailports schon an der Haustür geregelt. Die Syno wäre dann die zweite zu sichernde Instanz.

 

[fliggmode]

Der MailPlus Server ist in der Tat eine feine Sache, und die Bedienung ist ziemlich intuitiv. Für einen oder mehrere Kunden würde ich, wie du, auch einen MailServer mit Relay-Funktion bevorzugen. Es ist definitiv sinnvoller in Bezug auf Administrationsaufwand und Sicherheitsrisiko.