smtp 포트 25에 대한 텔넷 액세스를 보호하는 방법은 무엇입니까?

smtp 포트 25에 대한 텔넷 액세스를 보호하는 방법은 무엇입니까?

다음 사항을 고려하십시오.

192-168-1-106:~ michael$ telnet <remote_server_ip> 25
Trying <remote_server_ip>...
Connected to li*****.linode.com.
Escape character is '^]'.
220 mindinscription.net ESMTP Postfix (Ubuntu)
quit
221 2.0.0 Bye
Connection closed by foreign host.

이것이 매우 나쁜가요? 악의적인 공격자로부터 포트 25를 보호하는 방법은 무엇입니까? 이미 방화벽을 설정했지만 이 경우 어떻게 해야 할지 잘 모르겠습니다.

기본적으로 저는 이 서버를 사용하여 외부 이메일을 받지 않고 경고 메시지로만 이메일을 보내고 싶습니다.

미리 도움을 주셔서 감사드립니다.

답변1

SMTP를 통해 이메일을 받을 것으로 예상하지 않는 경우 (a) 방화벽에서 포트 25를 차단하거나 (b) 포트 25에서 들어오는 연결을 수신하지 않도록 MTA를 구성할 수 있습니다. 후자를 선택합니다. 여러 면에서 더 나은 솔루션이기는 하지만, 이를 달성하는 방법은 MTA에 따라 다릅니다. Postfix를 실행 중인 것 같으므로 다음이 도움이 될 수 있습니다.

http://www.postfix.org/postconf.5.html#inet_interfaces

답변2

포트 25 인바운드를 간단히 차단할 수 있습니다. 이는 귀하가 제어하는 ​​이메일 서버의 이메일 계정으로만 알림을 보내는 데 관심이 있는 경우에 효과적입니다.

제어할 수 없는 서버의 이메일 계정으로 보내는 경우 DNS mx/spf 레코드를 적절하게 설정하고 서버를 올바르게 구성하지 않으면 경고 이메일이 스팸으로 처리될 수 있습니다. 이를 위해서는 포트 25 인바운드를 열어야 할 수도 있습니다. 대안으로 포트 25 인바운드를 차단하고 적절하게 구성된 이메일 서버를 애플리케이션 서버의 이메일에 대한 릴레이로 사용할 수 있습니다.

답변3

어쩌면 여기에 뭔가 빠졌을 수도 있지만 이것이 내 생각입니다 ...

짧은 대답은 '아니오'입니다. 전혀 나쁘지 않습니다. 귀하가 오픈 릴레이가 아니고 악의적인 사람이 이메일 계정의 사용자 이름과 비밀번호를 모르는 경우 이메일 서버가 작동하는 방식은 다음과 같습니다. 배너 제거는 종종 보안 극장, IMHO입니다.

더 긴 답변을 드리자면, 방화벽 설정은 서버 보안을 위한 첫 번째 단계입니다. 다음은 오픈 릴레이가 아닌지 확인하는 것입니다. 즉, 스패머는 서버에 계정이 없으면 메일 서버를 사용하여 서버 밖으로 메일을 보낼 수 없습니다. 다음에서 확인할 수 있습니다.MX 도구 상자. 다음으로 서버에 Fail2ban을 설정할 수 있습니다. 서버에 대한 무차별 공격을 방지/경고합니다.

또한 Mx Toolbox를 무료로 모니터링하고 이메일 서버 문제를 경고하도록 설정하는 것도 고려해 보세요.

답변4

방화벽 외부에서 연결되지 않은 한 이는 나쁘지 않습니다. 발신 주소에서 귀하는 개인 네트워크에 있고 목적지도 동일한 네트워크에 있다고 가정합니다. 방화벽이 올바르게 설정되어 있으면(즉, 인터넷과 smtp 서버 사이에 위치) 아무 문제가 없습니다. 들어오는 요청이 도달하지 않고도 smtp 전달자로 나가는 연결을 만들 수 있기 때문입니다.

방화벽은 응답을 가정하여 모든 아웃바운드 연결을 허용하지만(간단한 종류의 경우) 포트 25에서 들어오는 연결은 허용하지 않습니다.

관련 정보