Пожалуйста, примите во внимание следующее:
192-168-1-106:~ michael$ telnet <remote_server_ip> 25
Trying <remote_server_ip>...
Connected to li*****.linode.com.
Escape character is '^]'.
220 mindinscription.net ESMTP Postfix (Ubuntu)
quit
221 2.0.0 Bye
Connection closed by foreign host.
Это очень плохо? как защитить порт 25 от злонамеренных атак? Я уже настроил брандмауэр, но не совсем уверен, что делать в этом случае.
По сути, я хотел бы использовать этот сервер только для отправки электронных писем в качестве оповещений, а не для получения внешних писем.
Заранее большое спасибо за помощь.
решение1
Если вы не ожидаете получать почту через SMTP, то вы можете либо (a) заблокировать порт 25 на вашем брандмауэре, либо (b) настроить ваш MTA так, чтобы он не прослушивал входящие соединения на порту 25. Последний вариант во многих отношениях является лучшим решением, но то, как именно вы этого добьетесь, зависит от вашего MTA. Похоже, вы используете Postfix, поэтому это может помочь:
решение2
Вы можете просто заблокировать входящий порт 25. Это сработает, если вы заинтересованы только в отправке оповещений на учетные записи электронной почты на контролируемых вами серверах электронной почты.
Если вы отправляете письма на учетные записи электронной почты на серверах, которые вы не контролируете, ваши оповещения могут быть отклонены как спам, если вы не настроите записи DNS mx/spf соответствующим образом и не настроите сервер правильно. Для этого может потребоваться открыть входящий порт 25. В качестве альтернативы вы все равно можете заблокировать входящий порт 25 и использовать правильно настроенный почтовый сервер в качестве ретранслятора для писем с сервера приложений.
решение3
Может быть, я что-то упускаю, но вот мои мысли...
Короткий ответ: нет, это совсем не плохо. Если вы не являетесь открытым ретранслятором, а злоумышленник не знает имя пользователя и пароль к учетной записи электронной почты, то именно так должен работать почтовый сервер. Удаление баннеров часто является театром безопасности, IMHO.
Более длинный ответ: Настройка брандмауэра — первый шаг к защите вашего сервера. Следующим шагом будет убедиться, что это не открытый ретранслятор, что означает, что спамер не может использовать ваш почтовый сервер для отправки почты с вашего сервера без учетной записи на вашем сервере. Вы можете проверить это наMX-панель инструментов. Далее вы можете настроить fail2ban на вашем сервере. Он предотвратит/оповестит вас о bruteforce-атаках на ваш сервер.
Также вам следует подумать о настройке Mx Toolbox monitoring — это бесплатное средство, которое оповещает вас о проблемах с вашим почтовым сервером.
решение4
Это не плохо, пока соединение не было установлено из-за пределов брандмауэра. С исходного адреса вы находитесь в частной сети, и я предполагаю, что пункт назначения тоже находится в той же сети. Если брандмауэр настроен правильно (т. е. он находится между Интернетом и сервером smtp), то все в порядке, так как он может устанавливать исходящие соединения со своим пересылателем smtp без поступления входящих запросов.
Брандмауэр разрешит (если это простой тип) все исходящие соединения с предполагаемыми ответами, но не разрешит входящие соединения на порту 25.