Open-Relay

elVerwirro

Hallo zusammen,

Ich hätte da mal ein kleines Sicherheitsproblem und bräuchte da mal eure Meinung.

Aus neugier habe ich mir den kostenlosen Nessus Scanner geholt und meine kleine Umgebung gescannt.
Dabei wurde ein offenes Relay entdeckt was mich doch ein bischen schockiert hat.

Here is a trace of the traffic that demonstrates the issue :

  S : 220 mail.xyz.de ESMTP Postcow
  C : HELO example.edu
  S : 250 mail.xyz.de
  C : MAIL FROM: <test_1@example.edu>
  S : 250 2.1.0 Ok
  C : RCPT TO: <test_2@example.edu>
  S : 250 2.1.5 Ok
  C : DATA
  S : 354 End data with <CR><LF>.<CR><LF>

Das offene Relay liegt angeblich auf dem Port 465/TCP

Ich habe seitdem versucht das Nachzustellen, aber sowohl diverse online Tools, als auch der manuelle Versuch per Telnet sich auf den Port zu connecten waren erfolglos. Ich vermute von daher das es ein False-Positive ist.
Es läßt mich aber einfach nicht los, immerhin kommt der Incident von der Nessus ja irgendwoher und der Mailservername ist korrekt.
Mailcow läuft ohne große Manuelle Anpassungen und zeigt auch bisher keine auffälligkeiten.

Hat jemand von euch schonmal etwas ähnliches beobachtet?

VG
Tobias

pkernstock

Der Scanner war bestimmt im internen Adressbereich?
https://mailcow.github.io/mailcow-dockerized-docs/firststeps-rfc-1918/

elVerwirro

wieder mal ein Fall von RTFM.
abgeändert, Nessus ist glücklich und ich bin es auch

DANKE