5474149378
Goto Top

Sophos SMTP-Relay IPv6 deaktivieren

Hallo zusammen,

ich bin aktuell ein wenig am verzweifeln.... Unsere Sophos SG 430 fungiert aktuell als SMTP-Relay für den internen, sowie für den externen Emailverkehr. Nun haben wir seit kurzem eine IPv6-Adresse auf unserer WAN-Schnittstelle integriert. Unsere Sophos versucht nun (sofern eine IPv6-Adresse als MX-Eintrag hinterlegt ist) mit einer beliebigen IPv6-Adresse aus unserem Bereich zu senden. Natürlich schlägt der Sendeversuch bei den meisten fehl, da kein Reverse-DNS Eintrag hinterlegt ist. Eine SNAT-Regel für SMTP-Traffic zum Internet (IPv4 & IPv6) vom Host zu der einzelnen IPv4-Schnittstelle scheint offensichtlich nicht zu funktionieren. Es wird trotzdem eine random IPv6-Adresse genutzt. Nebenbei haben wir für den SMTP-Verkehr noch eine Multipath-Regel konfiguriert.

1. Wie kann ich einstellen, dass zum Versenden nur IPv4 genutzt wird? (Ich vermute dass das Problem auf DNS-Ebene existiert und nicht unbedingt auf IP-Ebene). Die Frage ist auch, ob die SNAT Regeln überhaupt etwas bringen oder ob der SMTP-Proxy bereits vorher greift und die interne Adresse schon genatet wird. Hat da jemand etwas mehr Hintergrundwissen?
2. Falls erstens nicht umsetzbar ist, wie kann ich eine feste IPv6-Adresse für den SMTP-Verkehr festlegen?

Grüße

Content-ID: 5877334019

Url: https://administrator.de/forum/sophos-smtp-relay-ipv6-deaktivieren-5877334019.html

Ausgedruckt am: 11.04.2025 um 15:04 Uhr

doern.digital
doern.digital 06.02.2023 um 16:19:45 Uhr
Goto Top
Kannst du nicht einfach einen PTR (Reverse DNS) für die IPv6 auf dem WAN eintragen lassen? Bei einem Business-Anschluss über den Mails rausgehen sollte, dürfte das ja kein Problem sein.

Hab hier eine UTM im RZ mit IPv4/IPv6 stehen, da klappt der Versand via IPv4/IPv6 problemlos. Wobei der Anteil der IPv6 Mails echt gering ist.
aqui
aqui 06.02.2023 um 16:22:18 Uhr
Goto Top
Bei IPv6 gibt es bekanntlich kein NAT mehr. Wozu auch?
5474149378
5474149378 06.02.2023 um 16:40:10 Uhr
Goto Top
Auf dem WAN-Interface selbst kann ich nur einen Bereich festlegen. Über zusätzliche Adressen natürlich noch weitere als /32 Host. Auf der Sophos selbst gibt es jedoch keine Einstellung für das Outgoing Interface. Ich glaube das geht an dieser Stelle nur über Multipath-Regeln.

Dass es bei IPv6 kein NAT mehr gibt ist mir klar. Wir möchten aber ungern unseren Mailserver ohne Proxy erreichbar machen. Der Mailserver hat auch nur eine IPv4 Adresse.

Grüße
Pjordorf
Pjordorf 06.02.2023 um 17:24:07 Uhr
Goto Top
Hallo,

Zitat von @5474149378:
Der Mailserver hat auch nur eine IPv4 Adresse.
Und warum sendet der dann mit einer IPv6 wenn der nur IPv4 kennt, nutzt, Konfiguriert hat?

Gruß,
Peter
5474149378
5474149378 06.02.2023 um 17:40:36 Uhr
Goto Top
Auf dem Mailserver ist die Firewall als Smarthost hinterlegt. Die IPv6-Adresse ist lediglich auf dem WAN-Interface der Sophos hinterlegt. Intern wird kein IPv6 genutzt und ist auch auf allem Netzwerkadaptern deaktiviert.
mbehrens
mbehrens 06.02.2023 um 18:27:01 Uhr
Goto Top
Zitat von @5474149378:

Auf dem Mailserver ist die Firewall als Smarthost hinterlegt. Die IPv6-Adresse ist lediglich auf dem WAN-Interface der Sophos hinterlegt.

Und wie kommt dieses Interface zu dieser Adresse? Sind in den globalen Einstellungen wirklich mehrere Adressen hinterlegt?

Intern wird kein IPv6 genutzt und ist auch auf allem Netzwerkadaptern deaktiviert.

Und ein mutwillig kaputtkonfiguriertes internes Netzwerk face-sad
aqui
aqui 08.03.2023 um 14:59:21 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!