(HOST) Firewall-Einstellungen werden nicht übernommen

derDennis99

Hallo zusammen,

ich habe mailcow erfolgreich installiert. Alles funktioniert soweit.

Damit nicht jeder auf den Server über Port 25 zugreifen kann/soll, habe ich auf dem Hostsystem in der firewall (ufw) eine Regel mit bestimmten IPs für Port 25 erstellt. Dann habe ich versucht mit dem telnet command von einem anderen Rechner auf diesen Port zuzugreifen. Was funktioniert hat. (Eine “DENY IN” Regel für alle anderen IPs für Port 25 habe ich natürlich auch erstellt) Ich vermute mal, da docker ein eigenes Netzwerk erstellt, wird das nicht über die Host eigenene Firewall laufen sondern über die des Docker-Containers oder? Kann man das irgendwie ausstellen? Ich würde ganz gerne, dass die Host eigene Firewall ganz vorne ist und alles abfängt, was nicht in den Regeln steht. bzw. was geblockt werden soll. Kann man das irgendwie einstellen?

esackbauer

Was ist der Hintergrund dafür das einzuschränken? Mir scheint das nicht sinnvoll zu sein, einen eigenen Mailserver zu betreiben und dann den per Firewall zu kastrieren.
Port 25 muss ja für alle offen sein, sonst kannst du nicht von allen Empfängern mails bekommen. Sowas manuell zu pflegen ist ein Albtraum!

derDennis99

esackbauer ich benutze vor dem mailserver trendmicro. Alle Mails gehen erst dorthin und werden dann weiter an den Mailserver geleitet. Deshalb würde ich schon ganz gerne nur auf die IPs von trendmicro begrenzen, da auch nur diese Relevant sind, für den Mailserver sind.

esackbauer

https://docs.mailcow.email/de/manual-guides/Postfix/u_e-postfix-postscreen_whitelist/
Aber wenn der MX record auf den trendmicro zeigt, sollte das ja eh keine Rolle spielen, dann werden am mailcow keine Mails zugestellt.

derDennis99

ah ok… das st im Prinzip eine WhiteList für den Mailserver auf Port 25 richtig? wie ist das mit der Webseite für die Mailserver-Einstllungen und sogo? gibt es dort auch eine möglichkeit, nur bestimmte IPs zuzulassen?

ja genau, der MX geht direkt auf trendmicro.

esackbauer

Wie gesagt dann brauchst du eigentlich nix an der Firewall zu machen.
Schau dir die Doku nochmal an, was das “reject” bedeutet 😉

derDennis99 wie ist das mit der Webseite für die Mailserver-Einstllungen und sogo?

Wenn du dir solche Gedanken machst ist es besser den Mailcow überhaupt in einem privaten Netz zu betreiben, und mittels reverse proxy explizit bestimmge services zu erlauben. Der kann dann z.b. auch nur einzelne Länder freischalten.
Das alles mit Mailcow lösen zu wollen halte ich für Gebastel, und wird bei Upgrades möglicherweise Probleme verursachen.
mailcow ist ja grundsätzlich schon dafür ausgelegt, dass er im öffentlichen Netz ohne zusätzliche Firewall steht und daher ist er auch entsprechend gehärtet mittels fail2ban und netfilter.

derDennis99

ganz konkret… ich habe vor ALLE Anfragen über die Firewall auf dem Hostsystem laufen zu lassen. Ist das möglich? wenn ja wie ist das möglich?

esackbauer

Vermutlich schon, aber empfohlen ist es nicht. Hängt auch davon ab was das für ein Hostsystem ist.
https://docs.mailcow.email/de/getstarted/prerequisite-system/#firewall-ports

Wenn du Mailcow UI und SOGo (Port 443) einschränkst, ist auch CalDAV und CardDAV und ActiveSync eingeschränkt. SOGo ist ja nicht nur der Webmailserver.