Port 25 aus dem Mesh ins Internet nun blockiert

Orginaler Blog-Post: https://freifunk-kreisgt.de/port-25-aus-dem-mesh-ins-internet-nun-blockiert/

Leider hat ein, vermutlich infiziertes, Gerät aus dem Gütersloher Freifunk-Netz rumgespammt :-(

Heute morgen kam ein Spam-Complaint an, augenscheinlich über gw10.4830.org bei GMX eingeliefert:

Received: from static.88.178.201.195.clients.your-server.de ([192.251.226.26])
 by mx-ha.gmx.net (mxgmx114 [212.227.17.5]) with ESMTP (Nemesis) id
 1MejCH-1g093717Uj-00apM3 for <x>; Sun, 10 Jun 2018 08:57:49 +0200

Da wir keine Logfiles haben (für’s NATing erst recht nicht), muß der Anschein reichen, die IP paßt jedenfalls.

Nun ist es aus sogenannten »Zugangsnetzen« eh’ fraglich, ob von dort aus jeder SMTP-Server der Welt über den ungesicherten Port 25 erreichbar sein sollte — das Mißbrauchspotential ist hoch und die Alternativen seit Jahren verfügbar (Maileinlieferung per Submission-Protokoll inkl. Nutzerauthentifizierung über Port 465 oder 587). Port 25 ist eigentlich (heute) nur noch für die Weiterleitung von Mail zwischen Mailservern vorgesehen. Dem Gedanken des offenen Netzes folgend, blieb der Port aber offen, bis zur ersten Beschwerde — die nun erfolgt ist.

Wir könnten im Grunde einen (halb-) transparenten Proxy zwischenschalten, der alle ausgehenden Verbindungen zu anderen Mailservern über Port 25 annimmt, den Mailinhalt auf Spam testet und ggf. blockiert — das hat aber, auch rechtlich, soviele Fußangeln, daß das blockieren von Port 25 aus dem Mesh ins Internet das kleinste Übel zu sein scheint.

Insofern ist dies seit heute Mittag auch aktiv: Port 25 wird aus dem Mesh in Richtung Internet blockiert.
Merken dürfte es kaum einer, denn Mailanbieter bieten zur Maileinlieferung von den Mailclients ihrer Kunden seit Jahren eigentlich nur Port 465 oder 587 an, dort inkl. Authentifizierung und Verschlüsselung der Verbindung. Einzig Freifunker, die eigene Server im Freifunk-Netz betreiben (z. B. Raspberry Pis) und dort einen Mailserver betreiben, müßten nun umbauen.

Bei Fragen oder Problemen sprecht uns bitte an!