Fritzbox: PC für Internet gesperrt, E-Mail-Server für Mailversand als Ausnahme definieren

[dark_rider]

Hallo zusammen,

ich möchte für ein älteres Gerät im Fritzbox-Heimnetz, das noch mit Windows 7 arbeitet (Anwendungen/Peripherie leider nicht mit Windows 10/11 kompatibel bzw. hoher Test-/Migrationsaufwand) und für das daher aus Sicherheitsgründen der Internetzugang gesperrt ist (über Internet/Filter/Zugangsprofil "gesperrt"), nur den E-Mail-Versand über eine bestimmte Mailserver-URL freischalten.

In Internet/Filter/Listen/Erlaubte Internetseiten habe ich diese Mailserver-URL eingetragen, dann ein neues Zugangsprofil angelegt und dabei "Internetseiten erlaubt" ausgewählt. Der Mailversand war aber trotzdem nicht möglich, da die Erlaubnis sich offenbar nur auf Internetseiten (http(s)) bezieht, was AVM bestätigt.

Hat vielleicht jemand eine Idee oder sogar Erfahrungen dazu, wie man für ein Gerät an der Fritzbox das Internet generell sperren, aber als einzige Ausnahme den E-Mail-Versand über einen bestimmten E-Mail-Server erlauben kann?

 

[qwali]

Es gibt im Profil weiter unten die Auswahl der gesperrten Anwendungen - da wäre "Alles außer surfen und Mailen" - leider erlaubt das immer noch das Web und Zeiteinschränkungen würden auchd as Mailen unterbinden. Meines Erachtens ist dies also nicht mit einer Fritzbox erreichbar.

Gegenvorschlag - warum nutzt du nicht die Windows integrierte Firewall um alle ausgehenden Verbindungen zu http/https (80, 443) zu sperren oder wenn es ein vollkommenes Standalone-System ist alles außer ausgehendem Mailverkehr (25, 110, 143, 995 , 465 und 993) oder spezifischer nur die Ports die dein Provider nutzt?

 

[mtu]

Meines Erachtens ist dies also nicht mit einer Fritzbox erreichbar.

Wäre auch meine Einschätzung. Mit einer flexibleren Firewall könnte man das problemlos so konfigurieren, aber das erfordert halt zusätzliche Hardware und jede Menge Wissen um die richtigen Tools.

 

[Schwartz]

Meine Lösung wäre folgende. Windows 7 Firewall so einrichten, dass ausgehende als auch ankommende Verbindungen erfasst und geblockt werden. Alle Windowseigenen Verbindungen die als Default mit einem Haken aktiviert sind werden auf "blocken" gestellt. Und dann das Mailprogramm als einziges freischalten.

Alternativ kannst du mal probieren, in der FritzBox das Gerät an die Kindersicherung zu hängen, also Internet komplett zu blockieren. Und dann mit einer einzelnen Freigabe für Mail. Aber ich glaube die Kindersicherung wird das überschreiben.

 

[Ravensberger]

Die Zyxel Zywall 2 zum Beispiel ist zwar alt, wird dafür aber derzeit quasi verschenkt und kann wunderbar alle möglichen Firewall- Regeln erstellen.
Kostet quasi nichts und erweitert die Möglichkeiten und den Horizont enorm.

 

[dark_rider]

Danke schon einmal! Eine Firewall als zusätzliches Gerät geht leider nicht, weil das Gerät fest verbaut in der Wand steckt und dort kein zusätzlicher Platz mehr vorhanden ist. Ich werde mich aber mal zur Windows-7-Firewall als Alternative bzw. Ergänzung zur Fritzbox einlesen: Vielleicht kann ich, wie von qwali vorgeschlagen, in der Fritzbox für das Gerät nur den SMTP-Port freischalten und dies dann per Windows-7-Firewall direkt auf dem PC zusätzlich auf die benötigte Mailserver-URL begrenzen.

 

[mtu]

weil das Gerät fest verbaut in der Wand steckt

Das wird ja immer interessanter, viel mehr als die Firewall-Frage

 

[Lufo]

Ich bin mir sicher der Threadersteller flunkert ein wenig - auf dem PC läuft bestimmt Windows 3.11 und nicht Windows 7 und die Wand ist bestimmt ein Führerstand...

 

[dark_rider]

Sehr witzig, das stand kürzlich bei den Heise-News, dass die Bahn Mitarbeiter für Windows 3.11 sucht

 

[Herr Moehre]

Bitte auch beachten, dass Windows 7 die aktuellen cypher Suites nicht unterstützt und somit Tls 1.2 nur bedingt funktionsfähig unterstützt, selbst wenn du das in Windows nachträglich aktiviert hast.
Die meisten guten Mailserver nehmen keine unverschlüsselten E Mails, sowie mit tls 1.0/1.1 „verschlüsselte“ Mails mehr an.

 

[Schwartz]

Das Mailprogramm muss nicht zwangsläufig die Windowseigenen Ciphers verwenden sondern kann eigene DLLs mitbringen. Hängt vom Programm ab.

 

[dark_rider]

Danke schon einmal! Eine Firewall als zusätzliches Gerät geht leider nicht, weil das Gerät fest verbaut in der Wand steckt und dort kein zusätzlicher Platz mehr vorhanden ist. Ich werde mich aber mal zur Windows-7-Firewall als Alternative bzw. Ergänzung zur Fritzbox einlesen: Vielleicht kann ich, wie von qwali vorgeschlagen, in der Fritzbox für das Gerät nur den SMTP-Port freischalten und dies dann per Windows-7-Firewall direkt auf dem PC zusätzlich auf die benötigte Mailserver-URL begrenzen.

Mir fällt gerade auf: Windows 7 habe ich ja deshalb über die Fritzbox offline geschaltet, weil es keine Sicherheitsupdates mehr bekommt. Es nun in der Fritzbox wieder mit dem Internet zu verbinden und stattdessen auf die Win-7-eigene Firewall zu vertrauen, wäre ja widersinnig, weil gerade diese ja mittlerweile angreifbar sein könnte. D.h. es kommt nur eine Lösung rein über die Fritzbox in Betracht, die aber ja leider so nicht vorgesehen zu sein scheint.

 

[TheGrey]

In der Fritz Box kann man auch statische Port Freigaben einrichten:

Statische Portfreigaben einrichten | FRITZ!Box 7490

Portfreigaben für IP-Kamera (und weitere Dienste) richtig einstellen | Frag FRITZ! 25 Durch das Einrichten von statischen Portfreigaben können Sie anderen Benutzern im Internet den Zugriff auf bestimmte Serverdienste wie HTTP- und Fernwartungs-Server oder Online-Spiele und andere...

avm.de

Habe ich in der Vergangenheiten für diverse Online Games oder Game Clients bereits getan. Kann man auch einzelnen Geräten zuordnen. Bei mir hat der Gaming PC daher eine feste interne IP Adresse.

 

[dark_rider]

Betrifft die Portfreigabe nicht den Zugriff von extern über das Internet auf ein Gerät im Fritzbox-Heimnetz? Ich benötige es dagegen genau umgekehrt, d.h. der Win7-PC im Fritzbox-Heimnetz soll per SMTP E-Mails über einen Mailserver im Internet versenden können und wirklich nur das können, d.h. jegliche andere Verbindung zum Internet muss gesperrt sein.

 

[laptopheaven]

In der Fritz Box kann man auch statische Port Freigaben einrichten:

Da geht es allerdings um Portweiterleitungen die von außerhalb in Dein Netz hinein wollen.
Das ist sicherlich nicht das was der TE möchte. er betreibt ja keinen Serverdienst auf seiner Win 7 Kiste

 

[Schwartz]

Die Firewall in Windows 7 ist genausowenig angreifbar wie die Firewall in Windows 10 oder in Linux. Wenn die Einstellungen richtig gesetzt sind. Die Interna von Windows 7 sind wieder etwas anderes und (eventuell irgendwann in der Zukunft) angreifbar. Nicht einmal das ist Heute der Fall. Man handelt also zur Vorsicht. Firewalls blockieren. Wenn sie das nicht können, taugen sie nicht als Firewall.

Windows 7 beinhaltet als Ciphersuite kein TLS1.3 und wohl auch nicht TLS1.2 komplett. Aber im alten TLS sind auch noch einige Chipers dabei die *sicher genug* sind. Ob ein Programm diese Nutzt hängt wieder von der Software ab. Wie bereits gesagt, mein altes Mailprogramm (The Bat!) hatte sogar eine Option ob eigene Verschlüsselung oder die von Windows genutzt werden sollte. Claws Mail nutzt ausschließlich eigene. Outlook kenne ich nicht.

 

[mtu]

Mit den Konfigurationsmöglichkeiten der Fritzbox wirst Du Dein Ziel wahrscheinlich nicht erreichen. Vielleicht magst Du nochmal etwas mehr darüber erzählen, wie und warum die Maschine eigentlich Mails verschickt. Vielleicht kriegt man die ja auf anderem Wege ins Internet raus gelotst – zum Beispiel könnte ein anderer Host im Heimnetz als SMTP-Server konfiguriert werden, der die Nachrichten dann weiterreicht. So müsste Deine Win7-Maschine nur mit diesem Host reden, und könnte komplett vom großen bösen Internet abgeklemmt bleiben.

 

[TheGrey]

Ihr habt Recht. Ich habe die beiden Funktionen vorhin verwechselt. Der ausgehende kann in der Kindersicherung mit manuell hinzugefügten Anwendungen geregelt werden. Darüber sind auch Ports einstellbar. Anleitung hier:

Internetnutzung für bestimmte Netzwerkanwendungen sperren | FRITZ!Box 7490

Sie können den Internetzugang mit der FRITZ!Box-Kindersicherung nicht nur zeitlich einschränken, sondern die Internetnutzung auch für bestimmte Anwendungen (z.B. Online-Spiele) vollständig sperren. Für welche Geräte welche Sperren gelten, können Sie mithilfe von Zugangsprofilen festlegen...

avm.de

Regulär ist dabei nur das Sperren von Ports oder Portbereichen möglich. Man kann aber für einen selbst definierten Filternamen mehrere Portbereich sperren. Z.B. TCP 1-442, TCP 444-65535, dann wäre nur 443 frei. Selbiges für UDP, ICMP dann alles, usw.. Ohne es selbst auszuprobieren, würde ich annehmen das klappt, so dass am Ende dann nur das gewünschte möglich bleibt.

 

[mtu]

dann wäre nur 443 frei

Dann könnte die Win7-Maschine aber jeden Host im Internet auf 443 ansprechen. Der TE wünscht sich ja ausdrücklich, nur zu einem Host connecten zu können.

Das ist insbesondere relevant, weil manche Viren auf genau diesem Weg Spam-Mails verschicken. Es wäre also klug, wenn die besagte Maschine auch wirklich nur einen Host auf einem Port ansprechen dürfte. Das ist aber mit einer Fritzbox nicht machbar.

 

[Mornsgrans]

Man kann den Rechner aber ins Gastnetz bringen und darin ausgehende Ports außer SMTP/SMTPS blockieren. Alternativ kann man die Kindersicherung entsprechend einstellen.