Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Watchguard XTM505 Incoming SMTP

Frage Sicherheit Firewall

Mitglied: VaderDarth

VaderDarth (Level 1) - Jetzt verbinden

14.09.2012, aktualisiert 16:14 Uhr, 6072 Aufrufe, 16 Kommentare

Hallo Zusammen,

ich bin derzeit bei der Inbetriebnahme einer neuen XTM505 von Watchguard. Da ich die derzeitige Firewall ablösen möchte soll der eingehende Mailverkehr bereits über die neue Firewall geleitet werden.

Hierfür habe ich eine Firewall Policie "SMTP-proxy" angelegt die von Any-External an unseren Exchanger weiterleiten soll.

Im Syslog kann ich die Anfragen zur eingehenden Mail sehen. Diese werden aber geblockt. Der Syslog-Eintrag sieht wie folgt aus:

Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx Source Interface=0-External Destination Interface=Firebox Source Port=60917 Destination Port=25 Protocol=smtp/tcp

Ich habe die Firewall-Policie jetzt 2x angelegt (1x per Webinterface und 1x per Watchguard System Manager). Auch einen Neustart der Firewall habe ich schon durchgeführt. Also diese Fehlerquellen schließe ich mal aus.

Mache ich was falsch? Ist der Weg über den SMTP-Proxy falsch? In der Doku und im Watchguard-Forum habe ich jetzt auch nicht wirklich eine Antwort zu meinem Problem gefunden. Könntet Ihr mir evtl. bitte noch einen Tipp geben?

Vielen Dank im Voraus.

VG Michl

P.S. Hier noch die Hardcopys der Config

42be32d19c9f5a50672d244c9498e4b6 - Klicke auf das Bild, um es zu vergrößern
f7fb4597e4e9d6c3abfa6dcc4ed01314 - Klicke auf das Bild, um es zu vergrößern
15f3a31e3b88a979779bb28f1c06d0a9 - Klicke auf das Bild, um es zu vergrößern
3a8a3c7398947dde2027f773a6edc134 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Deepsys
14.09.2012 um 14:52 Uhr
Hallo Michl,



Zitat von VaderDarth:
Hierfür habe ich eine Firewall Policie "SMTP-proxy" angelegt die von Any-External an unseren Exchanger weiterleiten
soll.
Proxy ist schon OK, aber auch komplexer. Evtl. erstmal ein einfache Regel ohne Proxy.


Im Syslog kann ich die Anfragen zur eingehenden Mail sehen. Diese werden aber geblockt. Der Syslog-Eintrag sieht wie folgt aus:

Process=firewall Disposition=Deny Policy=Unhandled External Packet-00 Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx
Source Interface=0-External Destination Interface=Firebox Source Port=60917 Destination Port=25 Protocol=smtp/tcp
Der Punkt ist hier " Policy=Unhandled External Packet-00", die XTM meint sie hat keine Regel für dieses Paket und verwirft es (Standard).
Da stimmt deine Regel einfach nicht.


Ich habe die Firewall-Policie jetzt 2x angelegt (1x per Webinterface und 1x per Watchguard System Manager). Auch einen Neustart
der Firewall habe ich schon durchgeführt. Also diese Fehlerquellen schließe ich mal aus.
Jo, ist ja auch kein Fehler der XTM

Poste doch mal die Regel, mit gekürzten IPs.
Wichtig ist noch das Ziel muss ein SNAT (Static NAT),also ExterneIP -> Exchange IP.

VG
Deepsys
Bitte warten ..
Mitglied: VaderDarth
14.09.2012 um 15:43 Uhr
Hi Deepsys,

Vielen Dank für Deine schnelle Antwort. Nachdem man hier keine Attachments veröffentlichen kann würde ich Dir gerne per PN den link zu den Hardcopys schicken.

Die SNAT habe ich gerade eben noch konfiguriert. Danke für den Tipp.

Vielen Dank schon mal für Deine Hilfe

VG Michl
Bitte warten ..
Mitglied: Pjordorf
14.09.2012 um 16:01 Uhr
Hallo,

Zitat von VaderDarth:
Nachdem man hier keine Attachments veröffentlichen kann
Doch kann man und Frau. Du hast bei deiner Frage oben die Möglichkeit die zu Bearbeiten und dort problemlos Bilder mit anzugeben.

per PN den link zu den Hardcopys schicken.
Damit andere hier dir nicht helfen können / sollen?

Und deine
Source IP=80.67.xx.xx Destination IP=93.xxx.xxx.xxx
sieht für mich aus als wenn die Quelle Extern ist und das Ziel auch Extern ist? Oder habt ihr im LAN / DMZ ein 93.x.x.x/x Netz?

Gruß,
Peter
Bitte warten ..
Mitglied: VaderDarth
14.09.2012 um 16:24 Uhr
Hallo Peter,

natürlich nehme ich jede Hilfe gerne an. Ich hatte nur die Bilder-Funktion übersehen. Danke für den Tipp. Ich habe in meiner Beschreibung auch die Hardcopys schon ergänzt ;o)

Bzgl. Deiner Frage wegen den Quell- und Ziel-IPs:

Wir sind bei Domainfactory. Dort habe ich einen MX-Eintrag für unseren Exchange mit unserer öffentlichen IP 93.xxx.xxx.xxx und einer hohen Prio 1 konfiguriert. Sekundär arbeitet der Domainfactory-Mailserver als Backup mit einer Prio von 100. Können Mails nicht zugestellt werden cached der DF-Server die Mails noch bis zu 72 Std. und versucht die immer wieder zuzustellen.

Die Zustellversuche werden von verschiedenen Mailserver der DF vorgenommen, die IP-Adressen ändern sich auch dementsprechend was die Source-IP angeht.

VG Michl
Bitte warten ..
Mitglied: Deepsys
14.09.2012 um 20:36 Uhr
Zitat von VaderDarth:

Die SNAT habe ich gerade eben noch konfiguriert. Danke für den Tipp.

Und wo?
In dem Bilder fehlt genau diese.
Unter To muss etwas in der Art ExtIP-->192.168.x.x stehen.

Die Watchguard muss SMTP annehmen und dann an den Exchange weiterleiten.

So klappt das nicht und du bekommst immer den Fehler.

VG
Deepsys
Bitte warten ..
Mitglied: VaderDarth
15.09.2012 um 14:37 Uhr
Sorry, den hatte ich nicht angehängt.

b499ee7551b2f2ee95a3daa0c2431469 - Klicke auf das Bild, um es zu vergrößern

VG Michl
Bitte warten ..
Mitglied: VaderDarth
16.09.2012, aktualisiert um 08:08 Uhr
So, jetzt bin ich nach Deiner Anweisung einen Schritt weiter. Ich habe es in der Proxy-Regel unter To eingetragen

62b7b18a4c9aed4ec2d62ebeb6c93e99 - Klicke auf das Bild, um es zu vergrößern

Jetzt finde ich zwar keine Deny-Einträge mehr im Syslog, die Mails werden aber weder zugestellt noch als unzustellbar zurückgewiesen.

In den Hub-Einstellungen des Exchangers ist die IP der Watchguard aber mit eingetragen.

VG Michl
Bitte warten ..
Mitglied: Deepsys
17.09.2012 um 08:59 Uhr
Guten Morgen,

OK, das sieht eigentlich gut aus ...

Dann aktivier mal unter "Properties" das Logging "Send log messages" und mach den Firebox System Manager auf.
Dort solltest du nun im Traffic Monitor sehen was mit deiner Email passiert. Sie sollte grün sein und an deinen Host gehen.

Ach ja, und im Proxy bitte auch das Logging einschalten.

Dann sehen wir weiter.

VG
Deepsys
Bitte warten ..
Mitglied: VaderDarth
17.09.2012 um 10:40 Uhr
Ok, deswegen habe ich nix gesehen. Ich hab das Logging zwar im Proxy, nicht aber in der Policy aktiviert.

Also so wie es aussieht akzeptiert er jetzt die Mails und läßt die durch. Der Log sieht wie folgt aus:

2012-09-17 10:39:20 Allow 216.xxx.xxx.xxx 93.xxx.xxx.xxx smtp/tcp 50212 25 0-External 3-intern alt Allowed 52 114 (SMTP-proxy Incoming Firma-00) proc_id="firewall" rc="100" dst_ip_nat="192.xxx.xxx.xxx" tcp_info="offset 8 S 673912923 win 32" Traffic


Den Empfangsconnector habe ich aufgeschraubt, so dass er von allen möglichen IP-Adressen Mails empfangen kann. An dem sollte es eigentlich nicht liegen.

VG Michl
Bitte warten ..
Mitglied: VaderDarth
17.09.2012 um 13:53 Uhr
Die Policy scheint ja jetzt zu passen. Die Mails werden dem Exchange aber nicht zugestellt. Nachdem jetzt aber in irgendeiner Form für Domainfactory eine Verbindung da ist kommen die Testmails mit einem Unzustellbarkeitsbericht zurück "Relaying denied".

Hab ich da noch was übersehen?

Danke für die Hilfe.

VG Michl
Bitte warten ..
Mitglied: Pjordorf
17.09.2012 um 14:04 Uhr
Hallo,

Zitat von VaderDarth:
Die Mails werden dem Exchange aber nicht zugestellt.
Wo hast du das am Exchange geprüft? SMTP Log?

Gruß,
Peter
Bitte warten ..
Mitglied: VaderDarth
17.09.2012 um 14:39 Uhr
Hallo Peter,

ich habe in den LOG-Files "MessageTracking" nachgesehen. Zu mal die Mail dann entweder angenommen (und auch im Postfach landet) oder abgewiesen wird (und hier würde dann die Fehlermeldung anders aussehen)

Der Exchangeserver funktioniert einwandfrei. Er bekommt die Mails derzeit von einem anderen Gateway. Ich nehme nur die neue Firewall mit einer Testdomäne in Betrieb um dann irgendwann komplett umswitchen zu können.

VG Michl
Bitte warten ..
Mitglied: Deepsys
17.09.2012 um 16:11 Uhr
Hi

Zitat von VaderDarth:
Die Policy scheint ja jetzt zu passen. Die Mails werden dem Exchange aber nicht zugestellt. Nachdem jetzt aber in irgendeiner Form
für Domainfactory eine Verbindung da ist kommen die Testmails mit einem Unzustellbarkeitsbericht zurück "Relaying
denied".

Schau dir noch mal den Proxy der Watchguard an, der Log sagt nur das die Regel funktioniert.
Mir fehlt aber der Log vom Proxy selber.

Der sollte so in der Art smtp-proxy oder so heißen.

Kann sein das der Proxy antwortet

VG
Deepsys
Bitte warten ..
Mitglied: VaderDarth
17.09.2012, aktualisiert um 17:32 Uhr
In den LOG-Files finde ich nur den Eintrag den ich schon gepostet habe.

2012-09-17 17:25:57 Allow 80.xxx.xxx.xxx 93.xxx.xxx.xxx smtp/tcp 38062 25 0-External 3-intern alt Allowed 60 55 (SMTP-proxy Incoming Firma-00) proc_id="firewall" rc="100" dst_ip_nat="192.168.xxx.xxx" tcp_info="offset 10 S 2253737948 win 53270" Traffic

Ich habe aber das Logging "Enable logging for report" aktiviert. Das ist doch der richtige punkt, oder?

VG Michl
Bitte warten ..
Mitglied: VaderDarth
18.09.2012 um 15:31 Uhr
So, jetzt hab ich die Lösung. Hat ja wieder mal was völlig bescheuertes sein müssen.

Nachdem ich den Netzwerkmonitor auf dem Exchanger installiert hatte konnte ich sehen, dass die Anfragen bis zum Exchangeserver kamen. Mails wurden zugestellt und eine Bestätigung über den Erhalt der Mail wurde wiederum zurück an den Provider gesendet. Nachdem ich derzeit 2 Gateways betreibe (Watchguard ist derzeit nur in der Testphase) wurden die Mails über das neue Gateway an den Exchanger geliefert, die Bestätigung über den Erhalt ging aber über das "alte" Gateway.

Nachdem ich das Gateway am Exchange umgestellt hatte, klappte es auch mit dem Mailempfang.

Vielen Dank für die Unterstützung.

VG Michl
Bitte warten ..
Mitglied: Deepsys
19.09.2012 um 14:43 Uhr
Hi,

gut das es nun läuft.

Ein Punkt noch:

Zitat von VaderDarth:
Ich habe aber das Logging "Enable logging for report" aktiviert. Das ist doch der richtige punkt, oder?

Nein, der dient dazu Reports über den Report Server zu generieren, sollen schön sein
Ich selber nutze das nicht, darum kann ich dir nicht mehr dazu sagen

VG
Deepsys
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
E-Mail
gelöst Falsche SMTP Server IP Adresse (6)

Frage von laster zum Thema E-Mail ...

LAN, WAN, Wireless
gelöst Telekom Digitalisierungsbox mit WatchGuard Firewall (12)

Frage von demetz zum Thema LAN, WAN, Wireless ...

Exchange Server
Exchange nicht alle mails kommen rein 550 smtp (2)

Frage von windows10 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...