En un servidor de correo electrónico basado en Linux, ¿cómo se pueden prohibir las conexiones SMTP/IMAP/POP de los clientes mientras se sigue usando Webmail (Roundcube)?

En un servidor de correo electrónico basado en Linux, ¿cómo se pueden prohibir las conexiones SMTP/IMAP/POP de los clientes mientras se sigue usando Webmail (Roundcube)?

Con un servidor de correo electrónico basado en Linux en pleno funcionamiento (que ejecuta postfix/Dovecot), ¿cómo se puede desactivar la capacidad de conectarse a SMTP/POP3/IMAP con clientes de correo externos (o telnet, etc.) mientras se sigue (y sólo) utilizando el correo web Roundcube (que ¿Qué es un servicio de correo electrónico local)?

Roundcube se conecta a Dovecot IMAP para recuperar su correo; y el servidor en general necesita comunicarse con el mundo exterior, por lo que simplemente cerrar los puertos/firewall no funcionará para poder enviar/recibir correo dentro de la aplicación de correo web.

Respuesta1

Simplemente configure dovecot para que escuche en 127.0.0.1 solo los servicios que no desea exponer al exterior; puede especificar esto en dovecot.conf.

imap_listen = localhost
imaps_listen = localhost

Es similar para pop3.

pop3_listen = localhost
pop3s_listen = localhost

Respuesta2

Bueno tupoderUtilice un firewall para garantizar que las conexiones a los servicios imap y pop3 no se puedan realizar desde fuera del sistema. Si su instalación de dovecot está en un servidor diferente, las reglas de su firewall se pueden configurar para permitir conexiones hacia/desde ese sistema únicamente.

En cuanto a SMTP, no puedes simplemente bloquearlo como dices. Sin embargo, puede asegurarse de que solo acepte conexiones hacia/desde un host inteligente separado que simplemente actúa como retransmisión de correo, pero esto tampoco es rígido de ninguna manera. Creo que si quieres tener cualquier tipo de servidor disponible en Internet tienes que aceptar que, tarde o temprano, la gente encontrará una manera de conectarse a él de formas que no habías previsto, y en lugar de entusiasmarse por impedir el imposible, simplemente haría lo que fuera razonable a este respecto y luego gastaría el resto de mi energía en garantizar que el sistema estuviera configurado y administrado de forma segura.

Respuesta3

Mucho más eficaz es limitar las conexiones desde el espacio exterior para aquellos que hayan pasado la autenticación.

Si el cliente remoto conoce un correo electrónico/contraseña válido y puede establecer sesiones TLS en servidores SMTP/IMAP, ¿por qué no? Como efecto secundario, sus usuarios pueden utilizar MUA nativos, integrados en IOS/Android.

información relacionada