以下の点にご留意ください。
192-168-1-106:~ michael$ telnet <remote_server_ip> 25
Trying <remote_server_ip>...
Connected to li*****.linode.com.
Escape character is '^]'.
220 mindinscription.net ESMTP Postfix (Ubuntu)
quit
221 2.0.0 Bye
Connection closed by foreign host.
これは非常に悪いことでしょうか? ポート 25 を悪意のある攻撃者から保護するにはどうすればよいでしょうか? すでにファイアウォールを設定していますが、この場合に何をすべきかよくわかりません。
基本的に、このサーバーは外部からのメールを受信せず、アラート メッセージとしてのみメールを送信するために使用したいと思います。
ご協力をよろしくお願いいたします。
答え1
SMTP 経由で電子メールを受信する予定がない場合は、(a) ファイアウォールでポート 25 をブロックするか、(b) ポート 25 で着信接続をリッスンしないように MTA を構成することができます。後者の選択肢は多くの点でより優れたソリューションですが、それをどのように実現するかは MTA によって異なります。Postfix を実行しているようなので、これが役立つかもしれません:
答え2
ポート 25 の受信をブロックするだけで済みます。これは、自分が管理する電子メール サーバー上の電子メール アカウントにのみアラートを送信する場合に有効です。
管理していないサーバー上の電子メール アカウントに送信する場合、DNS mx/spf レコードを適切に設定し、サーバーを正しく構成しない限り、アラート メールがスパムとして破棄される可能性があります。このためには、ポート 25 の受信を開く必要がある場合があります。別の方法として、ポート 25 の受信をブロックし、アプリケーション サーバーからの電子メールのリレーとして適切に構成された電子メール サーバーを使用することもできます。
答え3
何か見逃しているかもしれませんが、これが私の考えです...
簡単に答えると、いいえ、これはまったく悪いことではありません。オープンリレーではなく、悪意のある人物が電子メールアカウントのユーザー名とパスワードを知らない場合、電子メールサーバーはこのように動作するはずです。バナーを削除することは、多くの場合、セキュリティ上の問題であると私は考えています。
より長い答えは、ファイアウォールを設定することがサーバーを安全に保つための第一歩です。次に、オープンリレーではないことを確認することです。オープンリレーとは、スパマーがサーバーにアカウントを持たずにメールサーバーを使用してサーバーからメールを送信できないことを意味します。これについては、次のリンクで確認できます。MX ツールボックス次に、サーバーに fail2ban を設定します。これにより、サーバーに対するブルートフォース攻撃を防止したり警告したりできるようになります。
また、Mx Toolbox モニタリングの設定も検討してください。これは無料で、電子メール サーバーの問題を警告してくれます。
答え4
接続がファイアウォールの外側から行われていない限り、これは問題ではありません。発信元アドレスからプライベート ネットワーク上にあり、宛先も同じネットワーク上にあると想定しています。ファイアウォールが正しく設定されている場合 (つまり、インターネットと SMTP サーバーの間に配置されている場合)、受信リクエストが届かずに SMTP フォワーダーへの送信接続ができるため、問題ありません。
ファイアウォールは (単純な種類の場合) すべての送信接続を許可し、応答を前提としますが、ポート 25 での受信接続は許可しません。