Synology Router > Synology Router

Mail geblokkeerd (Maar niet echt)

(1/1)

Briolet:
Ik kreeg gisteren een mailtje binnen en gelijktijdig twee mailtjes van mijn router dat deze mail geblokkeerd was.


--- Citaat ---Mail A
De verbinding van DS415-port-A met mailbnc112.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Ongewenste software).

Mail B
De verbinding van DS415-port-A met mailbnc112.isp.belgacom[.]be is geblokkeerd om veiligheidsredenen(Social engineering).

--- Einde van citaat ---

Uit nieuwsgierigheid zat ik net te analyseren hoe deze melding gegenereerd wordt en waarom de mail gewoon binnen komt.  Voor anderen die dit misschien ook leuk vinden geef ik hier even mijn conclusie.

De router blokkeert dergelijke verbindingen niet echt, maar zorgt er alleen voor dat de DNS opvragen geblokkeerd worden. Voor uitgaande verbindingen kan hij dan geen IP adres opvragen bij een domeinnaam. Als je het IP adres zelf hebt, dan wordt er niets geblokkeerd.

Uit de header van de mail:


--- Citaat ---Received: from mailbnc112.isp.belgacom.be (unknown [195.238.20.246]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by ......
--- Einde van citaat ---

In de header staan zowel het IP als de domeinnaam. Maar het mail programma weet eigenlijk alleen het IP adres waar de mail vandaan komt. De domeinnaam haalt hij op via een reverse DNS opvraag zodat hij er een naam in de mail bij kan zetten. En die reverse DNS opvraag van een IP aderes blijft werken zoals het volgende host commando laat zien:


--- Code: ---% host 195.238.20.246
246.20.238.195.in-addr.arpa domain name pointer mailbnc112.isp.belgacom.be.
--- Einde van code ---

Probeer ik via het host commando het IP te achterhalen dan krijg ik:


--- Code: ---% host mailbnc112.isp.belgacom.be
mailbnc112.isp.belgacom.be has address 10.254.5.2

--- Einde van code ---

Dat IP "10.254.5.2" is een IP adres van de router zelf en niet het correcte IP adres. Dit host commando genereert ook weer een nieuwe blokkeringsmail van de router.

Als ik verder in de header kijk, dan vind ik over de spf test:


--- Citaat ---Received-Spf: pass (skynet.be: Sender is authorized to use 'xxxxx@skynet.be' in 'mfrom' identity (mechanism 'include:ispmail.spf.secure-mail.be' matched)) receiver=GedeeldeData; identity=mailfrom; envelope-from="xxxxx@skynet.be"; helo=mailbnc112.isp.belgacom.be; client-ip=195.238.20.246
--- Einde van citaat ---

Dat domein wordt ook als 'helo' adres meegegeven en onderdeel van het mailproces is om te kijken of het helo adres naar het juiste IP wijst. Dus hier wordt dan wel een DNS opvraag gedaan die door de router geblokkeerd wordt. De RDNS (= reverse-DNS) check van de helo faalt dus. Maar hier telt dat alleen mee voor de spamscore:


--- Citaat ---X-Mailscanner-Spamcheck: geen spam, SpamAssassin (not cached, score=1.077, vereist 3, DKIM_SIGNED 0.10, DKIM_VALID -0.10, DKIM_VALID_AU -0.10, DKIM_VALID_EF -0.10, HTML_MESSAGE 0.00, RCVD_IN_DNSWL_BLOCKED 0.00, RCVD_IN_VALIDITY_RPBL_BLOCKED 0.00, RCVD_IN_VALIDITY_SAFE_BLOCKED 0.00, RDNS_NONE 1.27, SPF_HELO_PASS -0.00, SPF_PASS -0.00, URIBL_BLOCKED 0.00)
--- Einde van citaat ---

Ik krijg vaak mail van deze afzender en normaal, als er niets geblokkeerd wordt, schrijft hij bij de spamcheck:


--- Citaat ---X-Mailscanner: Found to be clean
--- Einde van citaat ---

Dan laat hij de gedetailleerde gegevens van SpamAssassin weg.

Conclusie: De meldingen van de router zijn verwarrend en worden alleen gegenereerd door de extra checks van de mailserver.  Ze verhogen wel de spamscore en een reeds verdacht mailtje kan dan de spam drempel overschrijden en echt tegengehouden worden. (Of in de spamfolder terechtkomen)

Conclusie2:  Belgacom laat weer te veel spammers toe op zijn netwerk, waardoor andere Belgacom gebruikers ook last kunnen krijgen van een "onbetrouwbaare afzender".

Babylonia:

--- Citaat van: Briolet op 22 november 2024, 12:49:04 ---Conclusie: De meldingen van de router zijn verwarrend en worden alleen gegenereerd door de extra checks van de mailserver.....

--- Einde van citaat ---

Aardig uitgezocht, maar ik weet eigenlijk niet wat ik ervan moet denken, of wat je er aan hebt?

Je gebruikt nog een Synology router model  RT1900ac,  waarvan de SRM firmware software inmiddels is verouderd en  "End of Life".
https://kb.synology.com/nl-nl/WP/Software_Life_Cycle_Policy/3#x_anchor_idb111f8821b



Daarnaast uit eerdere berichten gebruik je een aparte DNS-server geïnstalleerd op een NAS  (en niet het pakket van de router).
En dan nog een "Reverse Proxy"  m.b.t.  instellingen ingeregeld op een NAS.

In hoeverre blijven dit soort functies over verschillende apparaten verdeeld, met mogelijk niet meer sluitende software.
Nog correct werken in samenwerking met elkaar, in de stand van zaken "NU" ??     Of met andere woorden.
Dat er zaken misschien wel eens anders kunnen uitpakken dan verwacht of berichten verwarrend kunnen zijn, verbaast me eigenlijk niet.

RicoK:

--- Citaat van: Babylonia op 23 november 2024, 01:53:57 ---Je gebruikt nog een Synology router model  RT1900ac,  waarvan de SRM firmware inmiddels is verouderd en  "End of Life".

--- Einde van citaat ---

Excuses voor het geval ik wijsneuzerig mocht overkomen, maar jij noemt SRM ‘firmware’, maar is dit wel zo? Naar mijn mening is dit, of het nu SRM of DSM is, een OS is dit derhalve geen firmware.

Babylonia:
Nou ja, firmware - operating system.  De "software" overlapt elkaar nog wel eens.
Ik zal het voor de goede orde aanpassen.   ;)

Briolet:

--- Citaat van: Babylonia op 23 november 2024, 01:53:57 ---…Daarnaast uit eerdere berichten gebruik je een aparte DNS-server geïnstalleerd op een NAS  (en niet het pakket van de router).
En dan nog een "Reverse Proxy"  m.b.t.  instellingen ingeregeld op een NAS.…

--- Einde van citaat ---

Deze feature zal ook op de laatste firmware zo werken en ook met een standaard DNS server.

De threat-prevention  functie probeert eigenlijk alleen uitgaand verkeer te frustreren door de DNS opvragen te blokkeren en hiervan dan een melding maken via mail. Ook met een eigen DNS server word 99,9% van de DNS verzoeken extern opgehaald en dus geblokkeerd. Alleen de zelf gedefinieerde domeinen blijven intern.

Navigatie

[0] Berichtenindex

Naar de volledige versie