請考慮以下事項:
192-168-1-106:~ michael$ telnet <remote_server_ip> 25
Trying <remote_server_ip>...
Connected to li*****.linode.com.
Escape character is '^]'.
220 mindinscription.net ESMTP Postfix (Ubuntu)
quit
221 2.0.0 Bye
Connection closed by foreign host.
這很糟糕嗎?如何保護25埠免受惡意攻擊?我已經設置了防火牆,但不太確定在這種情況下該怎麼做。
基本上我想使用此伺服器僅發送電子郵件作為警報訊息,而不接收任何外部電子郵件。
非常感謝提前的幫助。
答案1
如果您不希望透過 SMTP 接收電子郵件,則可以 (a) 在防火牆上封鎖連接埠 25,或 (b) 設定 MTA,使其不偵聽連接埠 25 上的傳入連線。解決方案有很多方法,但具體如何實現取決於您的MTA。看起來您正在運行 Postfix,因此這可能會有所幫助:
答案2
您可以簡單地阻止連接埠 25 入站。如果您只想向您控制的電子郵件伺服器上的電子郵件帳戶發送警報,那麼這會起作用。
如果您傳送到您無法控制的伺服器上的電子郵件帳戶,那麼您的警報電子郵件可能會作為垃圾郵件被丟棄,除非您正確設定 DNS mx/spf 記錄並正確配置伺服器。這可能需要您打開入站連接埠 25。作為替代方案,您仍然可以阻止連接埠 25 入站,並使用正確配置的電子郵件伺服器作為來自應用程式伺服器的電子郵件的中繼。
答案3
也許我在這裡遺漏了一些東西,但這些是我的想法...
簡短的回答是,不,這一點也不壞。如果您不是開放中繼並且惡意者不知道電子郵件帳戶的使用者名稱和密碼,那麼電子郵件伺服器應該如何運作。恕我直言,拆除橫幅通常是安全劇院。
更長的答案是,設定防火牆是保護伺服器安全的第一步。接下來是確保它不是開放中繼,這意味著垃圾郵件發送者無法使用您的郵件伺服器從您的伺服器發送郵件,除非您的伺服器上有帳戶。您可以在以下位置查看:MX工具箱。接下來你可以在你的伺服器上設定fail2ban。它將防止/提醒您對伺服器進行暴力攻擊。
此外,您還應該考慮設定 Mx Toolbox,使其免費進行監控並提醒您電子郵件伺服器出現問題。
答案4
只要連線不是從防火牆外部建立的,這還不錯。從來源位址來看,您位於專用網路上,我假設目的地也位於同一網路上。如果防火牆設定正確(即它位於互聯網和 smtp 伺服器之間),那就沒問題,因為它可以與其 smtp 轉發器建立傳出連接,而不會收到任何傳入請求。
防火牆將允許(如果是簡單類型)所有出站連線(假定有答案),但不允許連接埠 25 上的任何傳入連線。