Filtert Netcup smtp (25) und smtps (465) ports auf IPv6?

  • Hallo Netcup-Forum,


    Ich habe festgestellt, dass auf meinem Emailserver mit einer zugewiesenen IPv6 Addresse die Ports 25, 80 (?) und 465 blockiert (gefiltert) werden und zwar nur auf der IPv6 Adresse.


    nmap output:

    Code
    PORT     STATE    SERVICE
    25/tcp   filtered smtp
    80/tcp   filtered http
    443/tcp  open     https
    465/tcp  filtered smtps
    587/tcp  open     submission
    993/tcp  open     imaps


    Kann es sein, dass Netcup smtp/smtps blockiert? Und wenn ja, was kann ich tun, um Netcup dazu zu bewegen, den Filter aufzuheben?

  • Höre zum ersten mal davon, dass Netcup netzwerkseitig Ports sperren soll und halte dies auch für sehr unwahrscheinlich.


    Muss ich fragen: deine eigene Config hast du entsprechend bereits geprüft? Mailserver lauscht auf dem IPv6 Interface? Firewall entsprechend konfiguriert?

    Gegentest im Rettungssystem mit einem Portlistener auf den Ports könnte auch für Gewissheit sorgen.

  • Höre zum ersten mal davon, dass Netcup netzwerkseitig Ports sperren soll und halte dies auch für sehr unwahrscheinlich.


    Muss ich fragen: deine eigene Config hast du entsprechend bereits geprüft? Mailserver lauscht auf dem IPv6 Interface? Firewall entsprechend konfiguriert?

    Gegentest im Rettungssystem mit einem Portlistener auf den Ports könnte auch für Gewissheit sorgen.

    Hab nochmal untersucht und es scheint tatsächlich ein Problem mit MEINER Konfiguration zu sein und nicht der Fehler von Netcup. Warum sollten die auch Port 80 blockieren? Bei 25 und 456 hab ich gedacht, das sei Spam prevention.


    Ich benutze zwar Mailcow in der kaum veränderten Standardkonfiguration, aber irgend was scheint da nicht zu stimmen.


    Muss ich weiter untersuchen.


    Vielen Dank für eure Beiträge!

  • Ist im Docker Daemon IPv6 aktiviert?

    Sieht so aus:

    Code
    # cat daemon.json
    {"ipv6":true,"fixed-cidr-v6":"fd00:dead:beef:c0::/80","experimental":true,"ip6tables":true}

    Bin mir auch nicht sicher, ab wann das nicht mehr funktionierte. Wahrscheinlich nach einem Mailcow Update.


    Und einige Mailcow Services funktionieren ja über IPv6 (https, imaps).


    Irgendwas stimmt mit der ip6tables Konfiguration nicht, die gefilterten Dienste fehlen auch in der Chain "DOCKER" (falls das was damit zu tun hat):



    Jetzt ist die Frage, wie ich die Dienste zur "DOCKER" chain mit Mailcow hinzufügen kann...

  • Ich hatte auch das Problem dass anscheinend Port 25 hier auf dem VPS eingehend geblockt ist.

    Aber, nach langem herumsuchen fand ich dir Ursache:


    Der CLIENT von dem aus ich dies probierte hat AUSGEHEND Port 25 geblock!


    Es ist ein VPS bei "2", beim dem es auch DSL etc gibt. Die Idee das zu sperren muss man mal haben! Eingehend würde ichnoch verstehen

  • Nein, ausgehend ist schon das deutlich größere Problem für einen Hoster. Stichwort Spam. Beim roten H musste man sich das - zumindest früher - auch erst freischalten lassen. Ob das bei "2" auch möglich ist weiss ich nicht, beim kleinen orangenen Bruder Strota in Berlin konnte ich jedenfalls problemlos über Port 25 senden.

  • Der CLIENT von dem aus ich dies probierte hat AUSGEHEND Port 25 geblock!

    Sowas hab ich beim CT auch bei "der Geschäftsleitung" angeregt. Ich weiß aber nicht, wie aufnahmefähig der da noch war... ;)


    Ein Zusatzprodukt, bei dem man seinen Server für eine geringe, einmalige Zusatzgebühr bei der Serverbestellung, eine IP aus einem speziellen "smtp-Subnetz" zuteilen lassen kann, in welchem ggf. 25 per Default gesperrt ist und man zum Freischalten eine gewisse Reputation glaubhaft machen muss.

    Ersteres, also eine art smtp Flag ließe sich recht einfach automatisieren.