BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Puerto 25 con DNS dinámico inalcanzable desde internet

rufote

¿Alguien sabe si el puerto 25 de SMTP se forwardea por Digi o no cuando usas una IP dinámica?

Tenia un servidor Linux con Postfix + Dovecot + Roundcube que iba bien y hace un par de meses dejo de ir.

Ahora hago el típico telnet al puerto 25 desde internet y no llega al Postfix. El NAT está correcto en el router y el cortafuegos del servidor también.

Si hago telnet al server en el puerto 80, también con NAT y donde hay una web, llega perfecto.

En la red interna los telnet a ambos puertos 25 y 80 van bien, como era de esperar.

SOLUCIÓN

Austrapede
1

Digi tiene el puerto 25 cerrado. Yo les pedí que lo abrieran y lo hicieron.

BocaDePez
BocaDePez

Un servidor de correo con IP dinámica??? Bien cierto es que no te acostarás sin aprender algo nuevo…

Y los correos que enviabas entraban en Hotmail / Outlook y GMail? O si quiera cualquier servicio de correo medianamente decente.

Yo hace tiempo administraba un servidor de correo de tamaño "modesto" y sudabas sangre en mantener una reputación de IP aceptable…

🗨️ 1
PezEnLaBoca

Yo lo uso para recibir, para enviar uso un relay externo (muy a mi pesar)

rufote

Esta claro…Muchas gracias por las respuestas.

En cuanto a IP dinámica la tengo con un dominio con el DNS gestionado por no-ip.com en el que tengo un MX record y otro TXT con el spf1 y demás…

search.opensuse.org/Cuando un sistema quiere enviar correo a ese dominio pregunta al DNS por el MX record y sabe la dirección, por lo que los paquetes llegan al router, pero no alpostfix pese a tener el NAT bien pues el puerto 25 esta "capao" como dice Austrapede .

Mañana llamo a Digi para que abran el puerto…y si hay alguna incidencia lo comentaré aqui.

Gracias de nuevo.

rufote

Pues nada, hace seis dias que llamé. Abrieron una incidencia y me dieron un numero de seguimiento…A los 3 dias nadie habia hecho nada…Volví a llamar a soporte y una señorita muy amable me dijo que estaba para "abrir puertos" y que todavía no lo habían hecho. Me dijo que lo escalaba de nuevo como urgente, pero hasta hoy nada de nada…Si recordáis el problema es que el router no hace NAT de los puertos relacionados con el correo electrónico, en particular el 25.

De modo que si tu tienes un dominio con tu DNS configurado correctamente con registro MX y/o TXT para SPF, las peticiones que se hagan en la red para enviar correo a tu dominio se envían al servidor que indique tu DNS, (que es la dirección externa de tu router), y el router hace NAT para llevar los paquetes a la IP interna donde tengas el servidor de correo.

Así que he decidido hacer otra prueba y se trata de sustituir el router.

Me hecho con uno de los recomendados en este foro que es económico (< 40€) , Xiaomi Mi Router AX1800 WiFi 6 2.4GHz/5GHz-1800 Mbps-Chip de 5 núcleos-4 antenas externas-Hasta 128 dispositivos-Mi Mesh , tiene puerto WAN y 3 puertos LAN. Y segun uno de los post que lei en el foro soporta VLAN.

La idea es seguir usando la misma ONT, enchufarle la salida a la toma WAN, meterle los datos de PPoE (que Digi ya da…) y configurar que el puerto WAN pertenece a la VLAN 20.

He recibido el router y le he conectado la ONT (se activa correctamente…) Le he metido la cuenta PPoE de Digi y no encuentro como configurar la VLAN 20.

¿Alguien puede decirme como se configura la VLAN ?

Gracias.

🗨️ 5
rufote

El dia 29 de Diciembre volvi a llamar por la incidencia abierta (tengo número de referencia de la misma) del puerto 25 y la "amable" señorita que me atendió me dijo que es cierto, que deberían haberse puesto en contacto conmigo para decirme que estaban trabajando en ello y que se tardaba porque era un puerto "muy peligroso" desde el que se mandan SMS fraudulentos…De traca !!!

Estoy pensando en denunciarlo a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales…No recuerdo que en el contrato ponga nada de restricciones de acceso a servicios básicos con un dominio propio. ¿Alguien lo ha hecho ya?

Y es asi como esperamos "digitalizar" el pais, poniendo trabas y que solamente grandes empresas puedan ofrecer servicios electrónicos y que no existan pequeñas empresas de servicios de hosting "de barrio" …

🗨️ 4
vukits

saturar SETSI con consultas de este tipo me parce poco ético. Más aún cuando es un servicio público.

más allá de eso.

en otro post dices que estás cambiando de router (a uno propio)… Cuando lo hayas cambiado, pues seguiremos cavilando sobre el puerto 25.

A día de hoy, hay evidencias de que Digi NO capa el puerto 25

🗨️ 2
pepejil

Digi capa el SMTP 25 pero sólo en tráfico saliente (lo más lógico). No conozco el caso del OP de que se lo capen en entrante.

🗨️ 1
pepejil

Lo más normal es que una operadora cape en tráfico saliente (sería lo perjudicial para la propia operadora), pero no veo motivos de por qué te lo capan en entrante.

De todas formas, esto no es denunciable. La operadora perfectamente puede alegar dos motivos:

  • Motivos de seguridad. Es un tráfico en un puerto específico para SMTP y todo el peligro que eso conlleva.
  • Poner a escuchar el puerto 25 en Internet tiene de todo menos de ser "un servicio básico"… Y servicio básico se entiende por "necesidad". Poner a escuchar una MTA tiene de todo menos ser algo "básico".

No me parece una traba en absoluto. Las conexiones residenciales no están pensadas para ejecutar servicios de red. Para eso están los servicios de hosting y cloud. Si poner servicios en red es un "servicio básico", entonces el que las operadoras implanten CG-NAT por defecto sería ilegal per se… Y no veo que la SETSI haga hincapié en ello.

rufote
1

Por fin hoy me han llamado de Digi para comunicarme que han abierto el puerto 25 en mi contrato !!! Desde el 16 de Diciembre hasta hoy 12 de Enero, tras tres llamadas a Atención del Cliente con una incidencia que registraron y para la que me dieron el ticket correspondiente.

He aprendido muchas cosas interesantes gracias a los input que me habéis proporcionado los usuarios de este foro en particular para hacer relay de correo desde dominios con DNS dinámico en Linux y con postfix cuando el ISP bloquea el puerto 25 de SMTP, en particular:

  • Relay del dominio a través de los servicios de gmail, que es complejo pero seguro…
  • Los consejos de Austrapede de alternativas para bypasear el bloqueo del ISP que explican en el hilo.

Gracias de nuevo a todos. Por mi el hilo queda cerrado.

Saludos