IP in Firewall gesperrt - trotzdem Einträge im SMTP-Protokoll

[milenke]

Ich habe auf meinem Webserver mit Windows Server 2022 in der Firewall einige IP-Adressen und IP-Bereiche gesperrt.
Trotzdem erhalte ich im SMTP-Protokoll Protokolleinträge mit solchen IP-Adressen.

Nach meinem Verständnis dürfte da nichts durchkommen - oder habe ich einen Denkfehler.

mike

 

[qiller]

Und was hat SMTP (Standard TCP Port 25) mit Webserver (Standard TCP Port 80/443) zu tun?

 

[kartoffelpü]

@qiller: Die Eigenart, dass der normale SMTP-Server von Windows über die IIS-Tools konfiguriert wird.
Nur weil @milenke Webserver geschrieben hat, darf der nix anderes hosten?

Genaue Config der entsprechenden Regel(n) wäre praktisch, vielleicht können wir daran die Ursache ausmachen.

 

[Sebbi]

oder habe ich einen Denkfehler.

1. Welche Protokoll wurde gesperrt? TCP/IP oder UDP oder beide
2. Welche Ports wurde für die IP / IP Ranges gesperrt, oder welche Port Ranges
3. Hast du sämtlichen Traffic für die IP / IP Ranges gesperrt oder nur einen Teil?
4. Nur Incomming oder nur Outgoing Traffic oder beides gesperrt ?

 

[JumpingCat]

Trotzdem erhalte ich im SMTP-Protokoll Protokolleinträge mit solchen IP-Adressen

1) Sind das Verbindungen von den IPs oder Zwischenstationen der Mails?

2) Wo stehen die Block Regel in Bezug auf die Allow?

3) Sind die Block Regeln so gesetzt, das die Verarbeitung stoppt?

 

[qiller]

Nur weil @milenke Webserver geschrieben hat, darf der nix anderes hosten

Natürlich kann er das, aber dann sollte er das besser beschreiben. So hab ich direkt vermutet, dass die Regeln nur die Webserver Ports betreffen und daher logischerweise SMTP durchlassen würden.

 

[milenke]

Ich habe in der Defender Firewall die eingehenden Verbindungen per IP oder IP-Bereich gesperrt.
Die IP-Adresen habe ich dem SMTP Activity-Protokoll von MailEnable entnommen. Meist Versuche mit falschem Passwort zuzugreifen oder Spam Mails.

 

[qiller]

Hm, Regelreihenfolge? Wenn die Pakete zuerst auf die Allow-Regels für den Web-/SMTP-Server treffen, werden die Pakete durchgelassen.

 

[milenke]

Ich nehme an, dass ich keinen Einfluss auf die Reihenfolge habe. Ich müsste also die IPs auch von den AllowRegeln ausnehmen?

 

[qiller]

Ach moment, wir reden hier ja von der Windows FW. Ja die kennt keine wirkliche Reihenfoge. Es gibt nur den Grundsatz, Blockieren geht vor Zulassen. Also ganz eigentlich sollte eine Blockregel die ursprüngliche Allow-Regel für die Anwendung aushebeln. Inbound gibts standardmäßig ja sowieso schon eine globale Blockregel, die aber erst nach den ganzen Allow-Regeln zieht.

Aber mal noch ne andere Frage: Reden wir hier eigentlich von öffentlichen IPv4- und IPv6-Adressen? Dann würde ich nämlich vorschlagen, die IP-Filterung einer echten Hardware-Firewall, die vor dem Web-/SMTP-Server sitzt, zu überlassen.

 

[milenke]

So wie ich das sehe habe ich keinen Zugriff auf die "echte" Firewall.
Ich habe jetzt die IP-Adresssen im MailEnable SMTP (Inbound) gesperrt, das war vorher für alle frei.
Scheint zu wirken.

 

[milenke]

Zu früh gefreut. Obwohl ich IP-Adressen in MailEnabled (SMTP) und in der Firewall (SMTP) gesperrt habe kommen einige Adressen immer noch durch.