Wie kann man mit einem voll funktionsfähigen Linux-basierten E-Mail-Server (auf dem Postfix/Dovecot läuft) die Möglichkeit deaktivieren, mit externen Mail-Clients (oder Telnet usw.) eine Verbindung zu SMTP/POP3/IMAP herzustellen, während man weiterhin (und nur) Roundcube-Webmail (also einen lokalen E-Mail-Dienst) verwendet?
Roundcube stellt eine Verbindung zu Dovecot IMAP her, um seine E-Mails abzurufen. Und der Server muss grundsätzlich mit der Außenwelt kommunizieren. Daher reicht es nicht aus, einfach die Ports/Firewall zu schließen, um innerhalb der Webmail-Anwendung weiterhin E-Mails senden/empfangen zu können.
Antwort1
Konfigurieren Sie Dovecot einfach so, dass es auf 127.0.0.1 nur auf die Dienste lauscht, die Sie nicht nach außen offen legen möchten. Sie können dies in dovecot.conf angeben.
imap_listen = localhost
imaps_listen = localhost
Ähnlich verhält es sich bei POP3
pop3_listen = localhost
pop3s_listen = localhost
Antwort2
Also dudürfenVerwenden Sie eine Firewall, um sicherzustellen, dass von außerhalb des Systems keine Verbindungen zu den IMAP- und POP3-Diensten hergestellt werden können. Wenn sich Ihre Dovecot-Installation auf einem anderen Server befindet, können Sie Ihre Firewall-Regeln so einrichten, dass nur Verbindungen zu/von diesem System zugelassen werden.
Was SMTP betrifft, können Sie es nicht einfach blockieren, wie Sie sagen. Sie können jedoch sicherstellen, dass es nur Verbindungen zu/von einem separaten Smarthost akzeptiert, der nur als Mail-Relay fungiert, aber auch das ist keineswegs absolut sicher. Ich denke, wenn Sie irgendeine Art von Server im Internet verfügbar haben möchten, müssen Sie akzeptieren, dass die Leute früher oder später einen Weg finden werden, sich auf eine Art und Weise damit zu verbinden, die Sie nicht erwartet haben, und anstatt mit aller Kraft das Unmögliche zu verhindern, würde ich in dieser Hinsicht einfach das tun, was vernünftig ist, und dann den Rest meiner Energie darauf verwenden, sicherzustellen, dass das System sicher konfiguriert und verwaltet wird.
Antwort3
Viel effektiver ist es, Verbindungen aus dem Weltraum für diejenigen zu beschränken, die die Authentifizierung bestanden haben.
Wenn der Remote-Client eine gültige E-Mail/ein gültiges Passwort kennt und TLS-Sitzungen auf SMTP/IMAP-Servern aufbauen kann – warum nicht? Als Nebeneffekt können Ihre Benutzer native MUAs verwenden, die in iOS/Android integriert sind.