OPGELOST - Nieuwe Ziggo BOX geeft geen toegang meer via externe POP3

Ik denk dat de Ziggo medewerkers maar wat roepen en van iemand die in de IT zit verwacht ik dat je er zelf verstand van hebt. Maar de manier waarop je dit omschrijft geeft mij niet dat idee.

Dat zit je wel hoog hé en als je echt wil helpen zou ik mij op de inhoud concentreren. IT sector heeft heel veel vlakken en van dit onderwerp heb ik inderdaad te weinig verstand van. Ik vraag niets voor niets om hulp.

Ik kreeg de tip of het niet aan de Firewall van het modem zou liggen. Ik vind het geen slecht idee en heb gekeken of ik iets kan wijzigen.

firewall-01.jpg


Veel is het niet, maar niet exact wat de keuzes inhouden en/of ze in dit probleem passen.
 
HET IS OPGELOST!

Via het modem heb ik de trace route bekeken van de IP-adressen waar mijn mail over loopt.
Deze heb ik vergeleken met de geblokkeerde IP-adressen in Fail2ban module van de VPS waar het domein op draait.
En jawel daar staat MIJN EIGEN ZIGGO IP-ADRES tussen als geblokkeerd.
Deze verwijderd en het probleem is opgelsot en de mail komt gewoon weer binnen.
Zal deze week de logfiles bekijken hoe dit heeft kunnen gebeuren ben benieuwd vooral door wie.

Ere wie ere toekomt

Wat ook nog eventueel zou kunnen is dat er iets op je strato server staat wat bepaalde IP ranges blokkeert
 
Goed zo! Mooi dat het is opgelost. En ik wilde je serieus helpen maar als iemand zegt.. ik ben IT-er verwacht ik dat ze een beetje kennis van TCP/IP hebben dus vandaar dat ik sceptisch was. En Ziggo helpdesk medewerkers... die praten soms maar een beetje de klant naar de mond heb ik het idee.... maar dat is niet alleen bij Ziggo het geval.

Die instellingen in je modem hebben trouwens effect op de inkomende verbindingen en als jij een verbinding vanaf je pc in je LAN (intern netwerk) naar de mailserver maakt is dat een uitgaande verbinding en die worden 1 op 1 doorgelaten (een modem doet niks met je uitgaande verbinding ja NAT of je moet specifiek een regel in een firewall maken) Wat ik wilde testen met die telnet is of je connectiviteit had met de mailserver. Zo ja wisten we dat het niet aan Ziggo kon liggen. Maar fail2ban kan inderdaad je IP blokkeren maar hoe kon je dan wel pingen? En als jou IP door fail2ban in de firewall van de server belandt kan er eigenlijk maar 1 veroorzaker zijn. Ligt er aan waar die op triggert natuurlijk, bijv. een aantal foutieve authenticaties. Meestal kun je fail2ban zo instellen dat de IP's na verloop van tijd weer vrij worden gegeven. bijv. na een 2 uur.
 
Wat ik overigens iedereen zou adviseren is neem een eigen domein. Kost een paar euro per jaar en koppel deze aan office365(50 euro p/j). Dan heb je een eigen mailserver met active sync en oneindig veel mogelijkheden. en mocht je naar een andere provider gaan, blijft je mailadres hetzelfde. En het werkt altijd!
 
Office365 voor 50 euro p/j? Dat is dan excl. btw en dan heb je alleen outlook (en de webversie van office).
 
Maar fail2ban kan inderdaad je IP blokkeren maar hoe kon je dan wel pingen? En als jou IP door fail2ban in de firewall van de server belandt kan er eigenlijk maar 1 veroorzaker zijn. Ligt er aan waar die op triggert natuurlijk, bijv. een aantal foutieve authenticaties. Meestal kun je fail2ban zo instellen dat de IP's na verloop van tijd weer vrij worden gegeven. bijv. na een 2 uur.

Uit de logs blijkt dat er op Kerstavond en begin januari "extern" op mijn VPS 2 maal was ingelogd met een IP-adres wat via een mobiele mast tot stand was gebracht. Niet direct in de omgeving maar een paal die zo'n 15 kilometer verder staat. Er was niets gedaan en kort daarna weer uitgelogd. Daarbij kwam ook nog eens dat dit IP-adres en een ander IP-adres, met 1 divice-nummer hoger, op de lijst waren geplaatst van "vertrouwde IP-adressen". Deze heb ik direct verwijderd.
Het systeem hier is "dicht" en wordt dubbel gecheckt v.w.b. virussen en mailware. Ook geen toegang mogelijk via poorten dus voor mij een raadsel hoe men op de VPS kan komen. De nodige WW direct aangepast en zal de komende tijd de logs goed in de gaten houden.
Ik heb als enige toegang, naast Strato natuurlijk....

Fail2ban staat juist aan om onbevoegden te weren op diverse manieren. Indien een onbevoegde 3 maal onjuist probeert in te loggen, wordt hij voor meer als een jaar op de zwarte lijst gezet. Ik werk hier al jaren mee en nooit problemen gehad.
 
Office365 voor 50 euro p/j? Dat is dan excl. btw en dan heb je alleen outlook (en de webversie van office).
Het is een plan 1 van office 365. Het kost 4,20 incl btw. Dan krijgt je een eigen volledig Exchange server en 50 Gb per mailbox. Overigens kun je dan ongelimiteerd shared mailboxen aanmaken van 50 GB per stuk (imap). Je kunt dit uiteraard verder uitbreiden met onedrive en office licenties. zie hier : https://www.argeweb.nl/office365/exchange-online

edit: En een eigen domein kost rond de 5-6 euro per jaar. Kun je een eigen naam verzinnen als mailadres.
 
@casperb71, Juist als jou IP adres in de fail2ban log staat kan er maar 1 veroorzaker zijn en dan ben je zelf. Anders komt jou IP niet door fail2ban in de firewall terecht toch. Dus dan denk ik aan een paar keer verkeerde authenticatie, de reden kun je meestal ook in de logs vinden overigens. Blijft over mijn vraag van gisteren, hoe heb jij kunnen pingen naar de server als je IP adres in de firewall staat of heb je alleen TCP verbindingen geblokkeerd en geen ICMP

En dat andere IP adres ben je dat niet zelf geweest met een telefoon misschien ? Ik bedoel als iemand zomaar toegang krijgt tot jou server en blijkbaar de juiste login/pw heeft wat erg onwaarschijnlijk is (of je pc heeft malware) dan ga je ik er vanuit dat ze niet zo maar inloggen en vervolgens niks meer doen. Als jij er werkelijk van overtuigd bent dat jij dit niet zelf was dan zou ik de server als "breached" beschouwen want ze kunnen ook logfiles hebben aangepast of iets hebben gedaan wat jij niet direct kan zien. Dan is het enige goede advies VPS opnieuw inrichten!
 
Even een laatste reactie nu het onderzoek samen met een security specialist (laat ik het maar voorzichtig benoemen) is afgerond.

Uit de logs blijkt dat er NIET vanaf mijn IP onjuist is ingelogd. Er is wel via een externe mast midden in de nacht ingelogd, maar daar bleef het ook bij. Geen handeling of iets dergelijks. Het blijft hierbij en heb het beveiligingsniveau extra opgeschroefd met een 2-way verificatie login. Hoe de blokkade is gemaakt en bepaalde IP-adressen zijn toegevoegd is niet middels logs te achterhalen/bewijzen.

Nog even terugkomen op het pingen dat lukte dus wel naar de externe mailserver. Daar hebben we geen onderzoek naar gedaan omdat het systeem inmiddels was aangepast.

Bedankt voor jullie support en ik heb er weer het nodige van geleerd.
 
Ik ben geen security expert maar ik weet wel als iemand toegang heeft gehad tot een server en het was niet alleen een poging tot maar daadwerkelijke toegang. Dan weet je nooit wat die persoon heeft gedaan en daar zit het gevaar. Je zegt het zelf al, met logs valt niet alles te achterhalen en ze kunnen er mee knoeien/bewerken. Dan kun je 2 traps authenticatie instellen maar als er inmiddels een backdoor aanwezig is heeft het weinig zin. Daarom is het enige juiste advies opnieuw inrichten.

Het blijft sowieso een vreemd verhaal want hoe heeft men toegang tot jou server kunnen krijgen.?

-Of iemand weet jou login/wachtwoord gegevens of iemand heeft ze geraden, dat kan alleen als jij een slecht wachtwoord gebruikt of een wachtwoord hergebruikt of middels social engineering te achterhalen valt. (bijv. je post op facebook/insta/twitter de naam van je hond en die gebruik je ook als ww) Brute-force kan je uitsluiten want fail2ban zou als het goed is ingesteld meteen ingrijpen na een paar foutieve inlog pogingen. Een medewerker van Strato is ook uitgesloten want die hoeft niet zo moeilijk te doen.

-Of 1 van je devices (pc/laptop/telefoon) heeft een malware besmetting opgelopen, dat hoef je niet direct te merken maar zo kunnen wel al je accountgegevens uitlekken. Dit lijkt mij een vrij aannemelijk scenario.

-Verder kon je server al besmet zijn met malware of er is een (zero-day) lek gebruikt, dit is met name mogelijk als je OS en software niet bijgewerkt zijn. Maar dan hoeven ze niet via SSH in te loggen lijkt me, maar goed je weet niet hoe handig of onhandig deze onbevoegden waren.

-Wat ook nog zou kunnen is dat je middels pop3, imap of smtp ergens via een openbare wifi hebt ingelogd op je server. Aangezien dit onveilige protocollen zijn gaan je logingegevens ongecodeerd door de lucht/over het lijntje. Het is dus altijd aan te raden de veilige variant van een protocol te gebruiken (Secure Pop3, Secure IMAP of Secure SMTP of webmail met HTTPS)

Wat betreft het pingen terwijl je IP in de firewall zou staan, geeft aan dat de firewall mogelijk niet optimaal is ingesteld. Mogelijk wordt alleen verkeer op bepaalde poorten geblokkeerd voor een IP adres en je wil eigenlijk dat de hele server voor zo'n IP onbereikbaar wordt.
 
Laatst bewerkt:
Terug
Bovenaan