Firewall-Einstellungen im Keyhelp-Panel

[tab-kh]

Ich habe ein Verständnisproblem(?) mit der Einstellung der Firewall im Keyhelp Panel.Breits vor längerer Zeit habe ich (vermeintlich?) ein Subnetz gesperrt für die eingehenden Ports 25, 465, 587. Eintrag in der Quellenliste:

Code: Select all

45.11.16.0/24

Heute bekomme ich eine Mail von der IP 45.11.16.58 und bin jetzt ein wenig verwirrt. Wie geht das? Was mache ich da falsch? Müssen Subnetze / IP-Bereiche in einem anderen Format eingegeben werden oder wie kommt der Spammer da sonst an der Firewall vorbei?

Edit:
Streiche "Heute", ersetze durch "Am 06.03.2022"
Hier mal der Logauszug (/var/log/mail.log.1) des Mailempfangs

Code: Select all

Mar  6 13:31:38 renntier postfix/smtpd[23179]: connect from mx23.sparfuchs-online.com[45.11.16.58]
Mar  6 13:31:38 renntier policyd-spf[23185]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=45.11.16.58; helo=mx23.sparfuchs-online.com; envelope-from=burda14@mail.a-p-l-n.de; receiver=<UNKNOWN>
Mar  6 13:31:39 renntier postfix/smtpd[23179]: 3AB64100061: client=mx23.sparfuchs-online.com[45.11.16.58]
Mar  6 13:31:39 renntier postfix/smtpd[23179]: disconnect from mx23.sparfuchs-online.com[45.11.16.58] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Mar  6 13:31:40 renntier amavis[32760]: (32760-09) Passed CLEAN {RelayedInbound}, [45.11.16.58]:35124 [45.11.16.58] <burda14@mail.a-p-l-n.de> -> <user@meine-domain.de>, Queue-ID: 3AB64100061, Message-ID: <20220306123138.1BB4CDAE5991B@mx23.sparfuchs-online.com>, mail_id: TfaYCExsh8Om, Hits: 4.308, size: 35582, queued_as: AE9A1100082, 1266 ms
Mar  6 13:34:59 renntier postfix/anvil[23181]: statistics: max connection rate 1/60s for (smtp:45.11.16.58) at Mar  6 13:31:38
Mar  6 13:34:59 renntier postfix/anvil[23181]: statistics: max connection count 1 for (smtp:45.11.16.58) at Mar  6 13:31:38

[ShortSnow]

Evtl. Reihenfolge? Wurde eine Firewall Regel die freigibt vorher aktiv?

Gruß Arne

[tab-kh]

Da seh ich nichts, was vorher freigeben würde, jedenfalls für diese Ports. Die Regel ist direkt vor der "SMTP" Regel eingetragen, die Port 25 und 587 freigibt. Die 465 hatte ich nur schon mal vorab mitgesperrt, damit man es nicht vergisst, wenn eventuell irgendwann auch darüber Mail reinkommen kann. Ich hoffe, ich liege richtig mit der Annahme, dass immer die IP des Servers gesperrt werden muss, der zu guter Letzt dann die Mail an meinen Server übermittelt, also z.B. bei Versand über einen Relay-Server eben die IP des Relay-Servers und nicht die des absendenden Mailservers.

Aber ich probiere mal was, ich sperre mal eben ein Subnetz eines meiner Hoster, das die IP-Adresse meines Shared Hosting Servers enthält. Dann sollte ich ja schnell sehen, ob es danach noch funktioniert mit der Mailzustellung .

[tab-kh]

Aua, das war jetzt wohl keine so gute Idee. Vor dem Blocken kam die Mail an, danach nicht mehr. Aber nachdem ich das Subnetz wieder rausgenommen habe, kommt immer noch keine Mail an. Hat sich der sendende Mailserver vielleicht gemerkt, Muss ich wohl mal eine Weile warten.

[tab-kh]

Hmm, nochmal reingeschaut in die Firewall-Regel und das Subnetz stand wieder in der Liste. Nochmal rausgelöscht und abgespeichert, jetzt gehts wieder. Da war ich wohl zu blöd um die Änderung / Löschung abzuspeichern. Mittlerweile sind auch alle geblockten Mails angekommen.

Jedenfalls funktioniert das mit meiner IP und ihrem Subnetz. Strange, könnte der Spammer da was mit der IP getrickst haben? Sprich, im mail.log und ich nachrichtenquelltext steht eine andere IP als die, von der aus tatsächlich übertragen wurde? Also, dass die Firewall die echte IP auswertet und Postfix eine Fake-IP?