Vorschlag: Port 25 sperren

  • Nabend alle zusammen!


    (Zunächst Off-Topic: gibt es gar kein Forum für generelle Vorschläge / Wünsche an netcup? Konnte keins finden Moderatoren )


    So, auf geht's: Dass wir alle regelmäßig auf Blacklists bezüglich Emails landen, ist ja nichts neues. Das liegt wahrscheinlich zu 95% an Leuten, die mal eben so Windows Vista auf ihrem RS 8000 installieren und "dann läuft ja alles". Abgesichert ist der Server natürlich mit einem super sicheren Passwort, benannt nach dem eigenen Hamster, z.b. "teddy". RDP ist selbstverständlich ebenfalls offen - wie soll man auch sonst seinen (als Administrator laufenden) Minecraft-Server verwalten?


    Egal wie fragwürdig das ist, kann ich nachvollziehen, dass netcup auch diese Kunden nicht per se vertreiben möchte. Wäre trötzdem schön, wenn man dafür sorgen könnte, dass diese dann nicht auch noch pro Minute versehentlich tausende Spam-Mails verschicken.


    Viele andere, auch größere Provider, blockieren generell Port 25 ausgehend, es sei denn man schreibt eine kurze E-Mail an den Support. Ich fände es wäre eine sehr sehr sehr gute Idee, wenn netcup das ebenfalls umsetzen würde. Könnte ja auch einfach automatisiert per SCP gehen, wo man einfach einen Haken setzen muss ala "Ich möchte mit meinem Server E-Mails versenden und bin mir der Verantwortung etc. bla bla bewusst.". Das würde legitime Kunden nur wenige Minuten/Sekunden Zeit kosten, aber wahrscheinlich dem Spam-Problem schon zu 90% entgegen wirken. Wäre also für alle ein Gewinn.


    Wie lautet eure Meinung dazu? :)

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

    6 Mal editiert, zuletzt von mfnalex ()

    Gefällt mir 17 Danke 2 Haha 1 Ente gut, alles gut 1
  • Ich sehe den wirklichen Nutzen leider nicht und bin generell skeptisch, wenn ein Provider standardmäßig Ports sperrt. Das muss einerseits sehr gut kommuniziert werden (da es andernfalls eine Katastrophe für den Support ist) und bindet Ressourcen für Entwicklung bzw. muss gewartet werden. Außerdem ist es eine weitere mögliche Fehlerquelle außerhalb des eigenen Einflussbereichs.


    Um zum ersten Satz meines Beitrags zurück zu kommen: Was hindert einen DAU daran, sich den Port freischalten lassen? Die üblichen Verdächtigen wollen ja oft bewusst Mails versenden und werden ihn sich daher freischalten lassen.


    Von mir daher leider ein klares :thumbdown:

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 4
  • Ich sehe den wirklichen Nutzen leider nicht und bin generell skeptisch, wenn ein Provider standardmäßig Ports sperrt. Das muss einerseits sehr gut kommuniziert werden (da es andernfalls eine Katastrophe für den Support ist) und bindet Ressourcen für Entwicklung bzw. muss gewartet werden. Außerdem ist es eine weitere mögliche Fehlerquelle außerhalb des eigenen Einflussbereichs.


    Um zum ersten Satz meines Beitrags zurück zu kommen: Was hindert einen DAU daran, sich den Port freischalten lassen? Die üblichen Verdächtigen wollen ja oft bewusst Mails versenden und werden ihn sich daher freischalten lassen.


    Von mir daher leider ein klares :thumbdown:

    Natürlich muss das gut kommuniziert werden, keine Frage.


    Den Vorteil sehe ich darin, dass Leute die eigentlich eh keinen Mail-Server betreiben wollen (Game-Server, "Online-Shop-Clickbot"-Leute, etc), dann zumindest schonmal kein potenzieller Spammer mehr werden können (ich verweise mal grob auf den Beitrag von vornhin, wo du ja mitgelesen hast und mir noch Popcorn schuldest :) ).


    Es muss ja einen Grund haben, warum andere Provider nicht so arge Probleme wie netcup mit der Mail-Zustellung haben, und ich glaube nicht dass die alle fleißig an UCE... bezahlen, oder dass die nur gelernte Sysadmins als Kunden haben.


    Natürlich könnte auch jeder "Idiot" das Häkchen im SCP ankreuzen, sollte es denn eins geben. Aber ich denke dass die meisten da gar nicht großartig durchgucken. Die kriegen ihren Server mit einem veralteten Debian ausgeliefert, und benutzen den dann, ohne sich groß im SCP umzusehen. Und wenn da doch mal was gesucht wird, dann wie man schnell Windows installiert kriegt.


    Ebenfalls könnte ja, sollte dieses Feature eingeführt werden, das Häkchen ja für Bestandskunden bereits standardmäßig gesetzt sein.


    Insofern seh ich hier keinen Nachteil, sondern nur Vorteile. Denn auch wenn es natürlich keine "richtige" Lösung gegen unabgesicherte Server ist: ein Spammer weniger ist besser als kein Spammer weniger :)

    Meine Minecraft-Plugins auf SpigotMC (Open Source): www.spigotmc.org/members/mfnalex.175238/#resources

    Discord: discord.jeff-media.com

    5 Mal editiert, zuletzt von mfnalex ()

    Gefällt mir 2
  • Den Vorteil sehe ich darin, dass Leute die eigentlich eh keinen Mail-Server betreiben wollen (Game-Server, "Online-Shop-Clickbot"-Leute, etc)

    De denken aber "wie blöd, ei klar will ich meine Statusmails versenden" und schon ist der Haken da.


    Man sollte eher einen "Nein, ich betreibe keinen Mailserver und will das Risiko verringern" Button hinsetzen, zum aktiv Sperren.

  • Hay,


    ich bin dafür, dass was getan werden sollte, grundsätzlich. Bin aber ratlos, welches das geeignete Mittel ist. Ggf. sollte jeder Server periodisch auf open relay getestet werden, wäre auch ein erster Schritt. Das vielleicht in Kombination mit dieser aktiven Freischaltung von Port 25.


    Bin zwar auch kein Freund von generellem Blocken (weil es in die Nähe vom VoIP/SIP Block bei den meisten Mobilfunkverträgen läuft), aber als ultima ratio möglicherweise doch.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Gefällt mir 3
  • Die idee des Tests auf open relay klingt sinnvoll. Wenn ein wordpress auf nem webspaxe irgendwas komisches macht ist sofort der ganze webspace down aber trotzdem ist netcup immer wieder auf listen...

  • Ich hätte gerne ein Feature, das in diese Richtung geht. Und zwar möchte ich für Email-Accounts, mit denen ich mich beim Webhosting-Smarthost anmelden kann, gerne eine Liste von erlaubten Empfängeradressen festlegen können. Für diese Empfänger soll dann ein separat konfigurierbares Versandlimit gelten, so dass ich für alle anderen Adressen ein sehr niedriges Limit einstellen oder den Versand ganz verbieten kann. Effekt: Wenn so ein auf meine Adressen eingeschränkter Email Account in die falschen Hände gerät, kann der Spammer mir Spam schicken, aber sonst niemandem, insbesondere keinen Spamtraps. Das würde mich etwas ruhiger schlafen lassen, wenn ich IoT-Geräten Email-Accounts für Statusmeldungen gebe.


    Es wäre auch schön, wenn für Server ein Smarthost zur Verfügung stünde, der z.B. nur für den Versand an festgelegte Adressen genutzt werden kann. Damit könnte man eine Port25-Sperre eingeschaltet lassen und trotzdem Statusmails verschicken, ohne dass ein Risiko bestünde, Spamtraps zu beliefern. Ich denke, es gibt viele, die sich gerne freiwillig die Mühe machen werden, den Mailversand etwas mehr abzusichern, wenn es die Möglichkeit dazu gibt.

  • NaN Für solche Dinge wäre ein neuer Thread definitiv besser ;)


    Moderatoren Könnt ihr das Thema vielleicht splitten? :*

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Warum splitten? Ein Smarthost wäre m.E. nötig, wenn man will, dass eine Port25 Sperre nicht von 100% der Server-Kunden abgeschaltet wird. Und damit der kein offenes Scheunentor ist, sollte der nicht an beliebige Adressen ausliefern dürfen.

  • NaN Denkfehler, der muss selbstverständlich an beliebige Adressen ausliefern dürfen,

    aber sollte nur von E-mail-Adressen im Absender beschickt werden dürfen, welche auch berechtigt/gültig¹ sind;


    wobei ich schließe mich hier der Meinung von KB19 an;


    und sollte es quasi in Self-Service-Manier dann zu Freischaltungen von Port 25 kommen, ist der Sinn ohnehin in Frage zu stellen;


    ¹ als Abseder z.B. eine Gmal.com od. Hotmail.com ist hier definitiv nicht erlaubt;


    ASS ein PHP-Send ist zwar kein offenes Relay aber oft die Ursache dieser Misere;

    weil sobald auf Grund von Bugs der auf dem vServer laufende Webserver zum SPAM-Versand mißbraucht werden kann,

    ist das unerheblich, ob es ein offenes Relay ist od. nicht;


    der Klassiker snd Mails dessen Absender mit www beginnen und als Domainteil einen Host direkt angeben,

    f. welchen es weder SPF, DMARC od. andere DNS-Einträge gibt;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Einmal editiert, zuletzt von mainziman ()

  • Den Vorteil sehe ich darin, dass Leute die eigentlich eh keinen Mail-Server betreiben wollen (Game-Server, "Online-Shop-Clickbot"-Leute, etc), dann zumindest schonmal kein potenzieller Spammer mehr werden können (ich verweise mal grob auf den Beitrag von vornhin, wo du ja mitgelesen hast und mir noch Popcorn schuldest :) ).

    Um Mails zu verschicken braucht man kein Port 25. Also schützt diese Maßnahme auch nicht, dass diese Spammer werden z.B. wenn der Server gehackt wird. Selbst wenn man alle möglichen Ports blockt, so gibt es auch noch andere Möglichkeiten den Server zu missbrauchen, sodass die IP auf einer Blacklist landet.

    Es muss ja einen Grund haben, warum andere Provider nicht so arge Probleme wie netcup mit der Mail-Zustellung haben, und ich glaube nicht dass die alle fleißig an UCE... bezahlen, oder dass die nur gelernte Sysadmins als Kunden haben.

    Auch andere Massenhoster landen regelmäßig auf Spamlisten. Sogar häufiger als bei Netcup. Das bekommt man aber meistens halt nicht mit, u.a. weil die meisten Provider nicht so transparent sind wie es bei Netcup ist und/oder weil diese kein Kundenforum oder andere Kommunikationskanäle für die Kunden anbieten.


    Das UCE ohnehin eine unseriöse Liste ist wurde bereits in anderen Threads mehrfach diskutiert. Dagegen kann man sich nur schützen, indem man solche Listen einfach nicht verwendet. Diejenigen die solch eine unseriöse Liste verwendet, diejenigen sollten aufgeklärt werden, sodass diese die Liste wieder entfernen.

  • NaN Denkfehler, der muss selbstverständlich an beliebige Adressen ausliefern dürfen,

    aber sollte nur von E-mail-Adressen im Absender beschickt werden dürfen, welche auch berechtigt/gültig¹ sind;

    Vielleicht erkläre ich es nicht richtig. Das Ziel ist, von einem Server Statusmails an bestimmte vorher bekannte und festlegbare Adressen schicken zu können. Wenn der Server keinen Zugang zu einem Smarthost hat, muss er selbst bei regulären Mailservern Mail einliefern können. Eine Port-Sperre würde dann wie selbstverständlich abgeschaltet. Wenn der Server über den Smarthost an beliebige Adressen versenden kann, ist auch nichts gewonnen: Nach einer feindlichen Übernahme hätte der Server die Möglichkeit, Spam an fremde Adressen zu schicken. In beiden Fällen besteht das Risiko, dass ein Angreifer Spamtraps beschickt und den Server bzw. den Smarthost auf Blacklists befördert. Wenn der Server durch eine Portsperre daran gehindert wird, selbst Mail zu verschicken, und über den Smarthost nur an Adressen verschicken kann, die vorher festgelegt wurden, dann ist das Beschicken von Spamtraps praktisch unterbunden, solange kein Zugriff auf das Kundenmenü besteht, um diese Einstellungen zu ändern. Die Funktion, Positivlisten von erlaubten Empfängern festzulegen, hätte ich auch gerne für Mailaccounts im Webhosting, aber das ist in diesem Thema nebensächlich.

  • ASS das ist etwas sophisticated; Deinen Tellerrand solltest etwas vergrößern;


    Das Ziel ist, von einem Server Statusmails an bestimmte vorher bekannte und festlegbare Adressen schicken zu können.

    wenn hier die Notwendigkeit besteht, dass diese das netcup-Netz verlassen müssen ist hier der Cardinals-Fehler schlechthin gemacht;

    denn diese Statusmails haben in der Regel Absendeadressen, welche ungültige Empfangsadressen darstellen;


    Wenn der Server über den Smarthost an beliebige Adressen versenden kann, ist auch nichts gewonnen

    Doch, sobald ungütlige Absenderadressen gefiltert werden zum einem und zum anderen ist dieser ja in einem anderen IP-Segment als die Server selbst;


    Nach einer feindlichen Übernahme hätte der Server die Möglichkeit, Spam an fremde Adressen zu schicken.

    eben nicht, wenn Mails mit ungültigen Absendern geblockt werden;


    Wenn der Server durch eine Portsperre daran gehindert wird, selbst Mail zu verschicken, und über den Smarthost nur an Adressen verschicken kann, die vorher festgelegt wurden, dann ist das Beschicken von Spamtraps praktisch unterbunden

    das nennt sich aber nicht Smarthost, sondern einfach der dann einzig erlaubte Mailserver an welchem versendet werden kann;


    Und um das ganze in eine Richtung zu lenken; was ist denn das primäre Ziel von jemanden, wenn er einen Gaming-/Webserver kapert, den er zum SPAM-Versand mißbrauchen will?

    zuerst will er möglichst wenig auffallen; sprich jede Aktion die er macht, welche auffällig ist, läßt ihn schnell entdeckt werden;

    genau hier ist das Problem mit Deinem ( NaN) "Smarthost", es würde damit kaum auffallen, dass auf besagten Gaming-/Webserver etwas nicht stimmt;

    hier gleich der Nachteil einer Port 25-Sperre: würden die Mails direkt nach außen gehen, dann fällt dies auf sobald, da Mails wo landen, wo sie nicht landen sollen;

    dies wäre aber mit einer Port 25-Sperre nicht möglich;


    die Frage die sich stellt, ob es Sinn macht, bei der Bestellung eines RS/VPS angeben zu müssen, welchen Einsatzzweck¹ man damit vorhat,

    und dieser an Hand dem in ein bestimmtes IP-Segment kommt;

    ¹ wäre hier natürlich nicht unproblematisch, spätestens bei der Übergabe an einen weiteren Kunden, welcher von dem bei der Bestellung definierten Einsatzzweck keine Kenntnis hat, oder dem widerspricht; läßt sich auch dahingehend lösen, indem der Server nach der Abgabe und vor der Übergabe 'runderneuert' wird, indem bei der Übernahme der neue Kunde seinen Einsatzzweck bekanntgeben muss; und der Server entsprechend in ein IP-Segment kommt;


    hier mal laut gedacht: bei IPv4 hat netcup ja x verschiedene Bereiche²; bei IPv6 quasi aber nur einen³ ...


    ² erstes Byte der IPv4 bei 37 od. 85 od, 194 od. ....,

    ³ am Standort Nürnberg ist es quas immer 2a03:4000:...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    2 Mal editiert, zuletzt von mainziman ()

  • Es soll da sogar mal einen RZ-Betreiber gegeben haben, bei dem Port 6667 (IRC) für eingehende und ausgehende Verbindungen gesperrt war. Lange ist es her, wer kann sich noch erinnern? ^^


    (Ohne Möglichkeit zur Freischaltung, glaube ich.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    2 Mal editiert, zuletzt von KB19 ()

    Gefällt mir 2