DSM 6.x und darunter Email Notifications durch Firewall durchlassen

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Laura

Benutzer
Mitglied seit
30. Dez 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Hallo Leute,

ich bin in letzter Zeit etwas paranoid und habe daher meine Firewall so eingestellt, dass jeglicher Zugang von und zum Internet blockiert ist - hoffentlich. Mit folgender Regel: Ports:All; Protokolls:All; SourceIP: 192.168.0.0-192.168.255.255; Allow (Deny alles andere). Habe ich mit dieser Regel jeglichen Internet-Zugang gesperrt?

Wenn ich mir die Logs ansehe, kommt sehr sehr häufig die Meldung "Number of received logs per second on DiskStation exceeds the tolerance value of 30" und "Failed to send email...". Die 30 logs pro Sekunde finde ich nicht in dem Log Center. Aber alle paar Sekunden, die Meldung, dass keine Email versendet werden konnte. Wenigstens das würde ich gerne beheben.

Kann mir einer sagen, wie das DMS so einrichte, dass Emails nach draussen kommen? Falls jemand eine Vermutung zu den 30logs/s hat, immer raus damit.

LG Laura
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Was bezweckst Du denn mit der Blockade der DS von innen nach außen?
Um von außen die DS nicht erreichen zu können, brauchst Du einfach keine Ports an die DS weiterzuleiten (IPv4) bzw. keine Ports in der Router-Firewall öffnen (IPv6).

PS: emails werden von Clients sehr oft noch auf Port 25 (der eigentlich nur noch für die Server-Server-Kommunikation verwendet werden sollte) oder korrekterweise Port 587 (der laut RFC 2476 definierte Submission-Port) an den MTA versandt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Korrekter Weise sollte man beide aktuell verwendete Ports für SMTP erwähnen: 587 und/oder 465. Als Verfahren kommt dabei SSL oder TLS zum Einsatz.
25 als unverschlüsselter Port sollte Tabu sein und wird in der Regel von Mailhostern auch nicht mehr angeboten.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
;)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...außer bei STARTTLS. :p
Yep, und deswegen sollte man korrekterweise 465 auch gar nicht mehr erwähnen (auch wenn er fehlerhaft hier und da noch unterstützt wird), weil der seit Einführung von STARTTLS als SMTP-Port zurückgezogen wurde und heute als SSM-Standardport festgelegt ist.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Hier klafft zwischen Theorie und Praxis eine grosse Lücke.
Dummer Weise halten sich nicht alle Mailprovider daran. 465 wird nach wie vor häufig eingesetzt, bestes Beispiel Strato.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Hatte ja erwähnt, dass er inkorrekterweise immer noch mal unterstützt wird - ist aber auch unerheblich, denn praktisch alle Clients bieten korrekterweise den richtigen submission Port an bzw. man kann ihn einstellen, und den kann man dann auch freigeben.
 

Laura

Benutzer
Mitglied seit
30. Dez 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Mmh, kenne mich da nicht so aus aber Eure Antworten haben ein paar Fragen aufgeworfen. Was blockiert die Firewall eigentlich - von innen nach außen, außen nach innen oder beides? Sieht die Firewall überhaupt, ob es von außen kommt oder sieht die nur die IP vom Router über den es ja zuletzt lief? Ich wollte einfach Attacken von außen verhindern und Trojaner auf der Synology die Komunikation verbieten.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Welche FW meinst Du jetzt?!? Die im DSM kann nur von aussen nach innen; über die Konsole (so habe ich gelernt) soll man auch von innen nach aussen konfigurieren können.
Wenn Du die NAS schützen willst, solltest Du imho die Firewall auf einem anderen Gerät konfigurieren.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ich wollte einfach Attacken von außen verhindern ...
Das machst Du - wie oben geschrieben - indem Du keine Ports inm Router für die DS öffnest.

...und Trojaner auf der Synology die Komunikation verbieten.
Vergiß es - Du kennst nicht mal einen Port, auf dem ein solcher möglicher Trojaner agiert. Wenn Du die DS nach außen stilllegen willst, aktiviere bspw. den Kinderschutz-Modus dafür in der Fritzbox oder etwas ähnliches, wenn der Router so etwas bietet. Dann gibt's auch keine Updates, Zeitaktualisierungen usw...
 

Laura

Benutzer
Mitglied seit
30. Dez 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Ist leider nicht mein Router und ich hab da nicht viel mitzubestimmen. Kann ich mit den Einstullungen meiner DS FW das gleiche erreichen? Gibt es denn überhaupt Trojaner für die DS und was kann ich da noch tun?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... Kann ich mit den Einstullungen meiner DS FW das gleiche erreichen?
Lies mal diesen Thread - dann weißt Du, warum die Antwort 'Nein' lautet.
... Gibt es denn überhaupt Trojaner für die DS und was kann ich da noch tun?
Die gab es durchaus schon (Cryptolocker bspw.), doch die Einfallsvektoren sind fast immer nicht der direkte Angriff eines Servers. Was Du tun kannst? Lass auf dem Hauptrechner, den Du im LAN nutzt, einen guten Scanner mitlaufen, der regelmäßig aktualisiert wird, und öffne Ports im Router nur dann für die DS, wenn Du sie wirklich benötigst.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Du hängst mit Deiner NAS an einem fremden Router? Dann ist aber höchste Eisenbahn für einen eigenen bzw. gleich eine kleine Firewall!
 

Laura

Benutzer
Mitglied seit
30. Dez 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Ist der WG-Router, gehört aber einem anderen und ich hab defekto das Passwort nicht. Ich könnte aber einen WR... von Cisco dazwischen hängen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wenn der erste WG-Router schon Ports nicht öffnet, sieht Dein Router gar nichts, mit dem er etwas machen könnte...
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Das ist leider wahr, aber inwieweit Du Deinen Mitbewohnern 100% trauen kannst weisst nur Du. Wenn nein, dann eigener Router.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat