как защитить доступ telnet к smtp-порту 25?

Question 1

Если вы не ожидаете получать почту через SMTP, то вы можете либо (a) заблокировать порт 25 на вашем брандмауэре, либо (b) настроить ваш MTA так, чтобы он не прослушивал входящие соединения на порту 25. Последний вариант во многих отношениях является лучшим решением, но то, как именно вы этого добьетесь, зависит от вашего MTA. Похоже, вы используете Postfix, поэтому это может помочь:

http://www.postfix.org/postconf.5.html#inet_interfaces

Answer

Если вы не ожидаете получать почту через SMTP, то вы можете либо (a) заблокировать порт 25 на вашем брандмауэре, либо (b) настроить ваш MTA так, чтобы он не прослушивал входящие соединения на порту 25. Последний вариант во многих отношениях является лучшим решением, но то, как именно вы этого добьетесь, зависит от вашего MTA. Похоже, вы используете Postfix, поэтому это может помочь:

http://www.postfix.org/postconf.5.html#inet_interfaces

Question 2

Вы можете просто заблокировать входящий порт 25. Это сработает, если вы заинтересованы только в отправке оповещений на учетные записи электронной почты на контролируемых вами серверах электронной почты.

Если вы отправляете письма на учетные записи электронной почты на серверах, которые вы не контролируете, ваши оповещения могут быть отклонены как спам, если вы не настроите записи DNS mx/spf соответствующим образом и не настроите сервер правильно. Для этого может потребоваться открыть входящий порт 25. В качестве альтернативы вы все равно можете заблокировать входящий порт 25 и использовать правильно настроенный почтовый сервер в качестве ретранслятора для писем с сервера приложений.

Answer

Вы можете просто заблокировать входящий порт 25. Это сработает, если вы заинтересованы только в отправке оповещений на учетные записи электронной почты на контролируемых вами серверах электронной почты.

Если вы отправляете письма на учетные записи электронной почты на серверах, которые вы не контролируете, ваши оповещения могут быть отклонены как спам, если вы не настроите записи DNS mx/spf соответствующим образом и не настроите сервер правильно. Для этого может потребоваться открыть входящий порт 25. В качестве альтернативы вы все равно можете заблокировать входящий порт 25 и использовать правильно настроенный почтовый сервер в качестве ретранслятора для писем с сервера приложений.

Question 3

Может быть, я что-то упускаю, но вот мои мысли...

Короткий ответ: нет, это совсем не плохо. Если вы не являетесь открытым ретранслятором, а злоумышленник не знает имя пользователя и пароль к учетной записи электронной почты, то именно так должен работать почтовый сервер. Удаление баннеров часто является театром безопасности, IMHO.

Более длинный ответ: Настройка брандмауэра — первый шаг к защите вашего сервера. Следующим шагом будет убедиться, что это не открытый ретранслятор, что означает, что спамер не может использовать ваш почтовый сервер для отправки почты с вашего сервера без учетной записи на вашем сервере. Вы можете проверить это наMX-панель инструментов. Далее вы можете настроить fail2ban на вашем сервере. Он предотвратит/оповестит вас о bruteforce-атаках на ваш сервер.

Также вам следует подумать о настройке Mx Toolbox monitoring — это бесплатное средство, которое оповещает вас о проблемах с вашим почтовым сервером.

Answer

Может быть, я что-то упускаю, но вот мои мысли...

Короткий ответ: нет, это совсем не плохо. Если вы не являетесь открытым ретранслятором, а злоумышленник не знает имя пользователя и пароль к учетной записи электронной почты, то именно так должен работать почтовый сервер. Удаление баннеров часто является театром безопасности, IMHO.

Более длинный ответ: Настройка брандмауэра — первый шаг к защите вашего сервера. Следующим шагом будет убедиться, что это не открытый ретранслятор, что означает, что спамер не может использовать ваш почтовый сервер для отправки почты с вашего сервера без учетной записи на вашем сервере. Вы можете проверить это наMX-панель инструментов. Далее вы можете настроить fail2ban на вашем сервере. Он предотвратит/оповестит вас о bruteforce-атаках на ваш сервер.

Также вам следует подумать о настройке Mx Toolbox monitoring — это бесплатное средство, которое оповещает вас о проблемах с вашим почтовым сервером.

Question 4

Это не плохо, пока соединение не было установлено из-за пределов брандмауэра. С исходного адреса вы находитесь в частной сети, и я предполагаю, что пункт назначения тоже находится в той же сети. Если брандмауэр настроен правильно (т. е. он находится между Интернетом и сервером smtp), то все в порядке, так как он может устанавливать исходящие соединения со своим пересылателем smtp без поступления входящих запросов.

Брандмауэр разрешит (если это простой тип) все исходящие соединения с предполагаемыми ответами, но не разрешит входящие соединения на порту 25.

Answer

Это не плохо, пока соединение не было установлено из-за пределов брандмауэра. С исходного адреса вы находитесь в частной сети, и я предполагаю, что пункт назначения тоже находится в той же сети. Если брандмауэр настроен правильно (т. е. он находится между Интернетом и сервером smtp), то все в порядке, так как он может устанавливать исходящие соединения со своим пересылателем smtp без поступления входящих запросов.

Брандмауэр разрешит (если это простой тип) все исходящие соединения с предполагаемыми ответами, но не разрешит входящие соединения на порту 25.

как защитить доступ telnet к smtp-порту 25?

решение1

решение2

решение3

решение4

Связанный контент