Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 1320 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP (outgoing) auf eine public IP am externen Interface beschränken

jprusch

Hallo,

wir haben eine SG 210 UTM mit v9.702 im Einsatz, die eine Reihe von externen IP-Adressen besitzt (wir haben ein 8er IPv4 Netz).

Eine IP ist dem Interface direkt zugeordnet, die anderen sind als "additional IP" definiert, die wir z.B. für VPN-Tunnel nutzen usw.

Im Firewall-Log beobachte ich, dass der ausgehende SMTP-Traffic munter ALLE externen IP-Adressen nutzt, die die Sophos SG an diesem Standort besitzt.

Wie kann ich dies in der Email-Protection auf die IP beschränken, für die wir den reverse-DNS für diese Domain gesetzt haben?

Es sollte auf keinen Fall so sein, dass die Sophos verschiedene IPs benutzt, dann laufen wir Gefahr auf einer Blacklist zu landen.



This thread was automatically locked due to age.
Parents
  • 0

    Moin,

     

    ich vermute, dass das mit einer Multipathregel nicht funktionieren wird. Man kann zwar unter E-Mailprotection bestimmte Listen-Adressen eintragen, das bezieht sich allerdings nur auf einkommenden Traffic.

     

    Wäre es denn möglich, ein zweites Interface mit den zusätztlichen Adressen zu erstellen? Dann könntest Du eine Multipathregel nach Schnittstelle für das Interface mit nur einer Adresse für SMTP/S erstellen. Unter Erweitert müsstest Du nur den Haken rausnehmen bei Schnittstellenfehler Regel überspringen.

  • 0 in reply to ThorstenSult

    Hallo Thorsten,

    die erste Antwort war auf einmal verschwunden... (wg. Edit?)

    Geht das auch, wenn man nur ein Interface nach draussen hat?

    Ich hätte gerne den smtp-daemon an bestimmte intefaces gebunden.

    Gleichwohl habe ich jetzt die "Listen interfaces" von "ALL" auf WAN und den internen Produktions-LAN Anschluss gesetzt, es also auf diese beiden Interfaces begrenzt.

    Scheinbar hat das was genützt, auch wenn die Theorie sagt, dass das nur eingehende Verbindungen betrifft.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • 0 in reply to ThorstenSult

    Hallo Thorsten,

    die erste Antwort war auf einmal verschwunden... (wg. Edit?)

    Geht das auch, wenn man nur ein Interface nach draussen hat?

    Ich hätte gerne den smtp-daemon an bestimmte intefaces gebunden.

    Gleichwohl habe ich jetzt die "Listen interfaces" von "ALL" auf WAN und den internen Produktions-LAN Anschluss gesetzt, es also auf diese beiden Interfaces begrenzt.

    Scheinbar hat das was genützt, auch wenn die Theorie sagt, dass das nur eingehende Verbindungen betrifft.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  • 0 in reply to jprusch

    Ja, die erste Antwort hatte ich gelöscht. (Thema verfehlt).

     

    Also ich bin davon ausgegangen, dass es sich nur auf einkommenden Traffic bezieht. Vermutlich habe ich mich aber geirrt? Du solltest es jedenfalls beobachten.

     

    Man hätte sonst eine Multipath-Regel erstellen können. Dort kannst Du aber nur die Schnittstelle auswählen, nicht die genaue Adresse. Das funktioniert also nicht, wenn die Schnittstelle mehrere Adressen inne hat.

     

Unfiltered HTML