Mailplus gebruikersaccount wordt gebruikt bij hackpogingen/Firewall instellingen

[Ray308]

In reactie 9 staat de instructie van Synology, voor zover je daar echt iets aan hebt.

Ik blokkeer een aantal 'schurkenstaten' maar goed, een beetje hacker gebruikt een vpn voor andere geolocaties.

Komt al je mail nog aan dan als je alleen benelux en duitsland toegang bied?  Ik zat zelf de denken aan de EU ofzo.
Dus een weigeren regel en alleen de EU landen open zetten.

En als je zelf ooit in een land ben die je geen toegang geeft voor mail, kun je zelf de mail natuurlijk niet ophalen. (wel met een vpn of tijdelijk toevoegen natuurlijk)

[Neo101]

Die heb ik ook gekregen en gelezen. Maar ik kwam daar toen niet verder mee.

Mijn firewall regels zijn de volgende en in deze specifieke volgorde:

1. Toestaan > Specifiek IP > Range 192.168.xxx.1 tot 192.168.xxx.255 (of een andere range voor je thuis ip adressen, kan ook 10.0.xxx.xxx of 172.168.xxx.xxx zijn)
2. Toestaan > Specifiek IP > <thuis ipadres van mijn provider> (evt. opzoeken bij whatismyip.com). Extra regels hieronder als je vaker vanaf een ander vast IP adres verbinding maakt.
3. Toestaan > Locatie >  <mijn landen> (in mijn geval heb ik alleen NL,BE,LUX en DE toegestaan, dat is voor mij voldoende)
4. Weigeren> Selecteren uit een lijst met ingebouwde toepassingen > <HIER ALLES AANVINKEN> met uitzondering van de diensten die je beschikbaar wil hebben. In mijn geval is dat alles waarbij gebruik gemaakt wordt van poort 80 en 443. Voor de mailserver hoef je alleen poort 143 uit te vinken.

Je kunt dit evt. testen door vanaf een google/hotmail of ander adres jezelf te mailen. Ga je op vakantie, dan kun je het vakantieland aanvinken in regel 3 voordat je gaat. Meer hoef je dan niet te doen. Ik zou het aantal aangevinkte landen zo beperkt mogelijk houden. De VPN servers worden, met je eerder gedane instellingen, toch meteen geblokkeerd. Dus daar zou ik niet wakker van liggen. Als extra beveiliging heb ik de tweestapsverificatie aangezet. Soms een beetje lastig, omdat je een code uit je telefoon over moet tikken, maar het werkt goed

De instellingen in de mailplus software zie je in de bijgevoegde screenshots.

Bij mij zijn de "foute" meldingen verdwenen als sneeuw voor de zon. Hoewel ik nog steeds van mening ben dat er een lek is in de mailplus software. Hoe kunnen anders inlognamen, die niets met het mailadres te maken hebben, binnen 2 uur gevonden worden.

Laat me even weten of je er iets aan hebt gehad.

[Ray308]

@Neo101 lijkt de configuratie van mariushosting.com wel ;-).   (Veel info te vinden in het Engels)

Mijn firewall:
Regel 1: toestaan lan 192.168.23.0/24
Regel 2: weigeren landen (Iran Belarus Rusland noord Korea enz)
Regel 3: toestaan webserver / mailserver (mijn website hoeft niet voor heel de wereld bereikbaar te zijn)
             Landen benelux / Duitsland / usa (veel mailverkeer met usa) en A1 en A2 (de eerste tweet keuzes bij locaties)
Regel 4: toestaan poorten voor communicatie tussen nassen / land Nederland (alle nassen staan in nl)
Regel 5: weigeren alles / alles

Inlogpogingen voor Postfix (mailserver plus) nu gereduceerd tot zo goed als nul.

Uiteraard op de mailserver alleen ssl/ssh poorten dus 143 / 110 e.d. worden niet gebruikt.

[Briolet]

@Ray308 : Regel 2 is hier overbodig. Dit wordt al door je regel 5 verzorgd.

[DSGebruiker]

Al dat geo-blocken is leuk en aardig, maar eigenlijk is de kern van de zaak nog niet helemaal helder ?
HOE komen je gebruikersaccounts/logins bij hackers/scripters/bots zodat die inlog-pogingen kunnen doen ?!

Of proberen ze eerder vanuit email-adressen die verzameld zijn 1 of andere login te destilleren ?

Want ik zou me best ongerust maken zeker als je zelf alles host etc.

[Birdy]

Heel eenvoudig, die hackers hebben daar programmatuur voor en zoeken heel internet af om te kijken of ze kunnen inloggen.

[DSGebruiker]

Jaja, dat weet ik ook wel.
Wat wel hééél speciaal zou zijn is dat als ik een specifieke login voor een mailbox heb aangemaakt vb postbus342 als login-naam dat NET die login-naam OOK geprobed gaat worden!

Als bij mailplus de LOGIN = EMAIL-ADRES of ALIAS tja, dan is het een héél ander verhaal.
mailadressen & aliassen lekken nogal snel dus als dat ook je login component is....

[Neo101]

@Ray308 Ik ben geen IT specialist. Ik weet overal wel iets vanaf, Ik heb de instructies van mariohosting gebruikt, maar kwam er daarmee niet uit. Ik heb zelf wat moeten experimenteren met de Firewall instellingen. Je schrijft (terecht) dat je poort 143 niet gebruikt. Maar zodra ik deze dicht zet komt er geen mail meer binnen. Ook als 993 open staat.

Ik ga een profiel maken met jouw instellingen, eens kijken of dat beter werkt.

@DSGebruiker : heb je je al eens de moeite gemaakt om een ticket aan te maken bij Synology support ? Ray308 en ik hebben dat al eens gedaan. Ze komen steevast met de melding dat je waarschijnlijk een keylogger op je apparaten in gebruik hebt. Ik zou deze zaak graag wat meer onder de aandacht willen brengen bij Synology maar ook bij de gebruikers van Mailplus. In de hoop dat ze er wat aan gaan doen, als dat al kan

[Briolet]

Je schrijft (terecht) dat je poort 143 niet gebruikt. Maar zodra ik deze dicht zet komt er geen mail meer binnen. Ook als 993 open staat.

MailPlus krijgt alleen mail binnen via de smtp poorten. (vrijwel alleen via poort 25)

Als het bij jou mis gaat met poort 143, dan heeft dat niets met MailPlus van doen. Je haalt blijkbaar dingen door elkaar. Je mail-cliënt kan dan waarschijnlijk via IMAP geen mail meer ophalen van de mailplus server omdat je je mail-cliënt onveilig geconfigureerd hebt.

[Neo101]

@Briolet Zoals ik al schreef, ik ben geen IT specialist. Ik twijfel dus niet aan je uitspraak en ik dingen door elkaar haal. Ik krijg dingen wel vaak aan de praat door zoeken op internet en veel uitproberen. Over het configureren van Mailplus voor dummies als ik vind ik maar weinig. Er wordt vaak wel een bepaalde basiskennis verondersteld.

Het gaat juist veel beter nu alleen poort 143 nog open staat. SMTP poorten zijn geblokkeerd in de firewall regels. Verder heb ik alleen 443 en 80 open staan

Edit : Poort 143 dichtgezet, en de mail komt nog steeds binnen. Daar ligt het dus niet aan  zoals @Briolet al suggereerde. Ik wil eigenlijk een set firewall regels waarbij de mail van over de hele wereld binnen komt, maar het niet meer mogelijk is om bijvoorbeeld buiten de Benelux en Duitsland een inlogpoging te doen. Kan zoiets eigenlijk wel ?