Назад | Перейти на главную страницу

Ограничить SMTP только для localhost

Как мы можем ограничить использование службы SMTP только на локальном хосте?

Наши веб-сайты используют SMTP localhost, но мы не хотим, чтобы почтовые клиенты использовали наш сервер через порт SMTP.

Наш сервер - Windows Server 2008 R2 и использует Mail Enabled Professional Edition V1.

Спасибо.

Мой совет, особенно для SMTP, - защитить себя с помощью как можно большего количества уровней безопасности, особенно если у вас есть другие люди с доступом администратора к серверу, включающие и выключающие такие вещи, как брандмауэры ... Вот как я это сделаю :

  1. Брандмауэр - убедитесь, что только 127.0.0.1 может разговаривать с портом 25 на вашем сервере. Отклоните все остальные подключения.
  2. Настройте службу SMTP для прослушивания подключений только на 127.0.0.1. По умолчанию он настроен на прослушивание 0.0.0.0, что означает любой IP, включая общедоступный. Даже если брандмауэр выйдет из строя или отключится, внешние клиенты не смогут общаться со службой SMTP на вашем сервере, потому что она будет «глуха» к ним.
  3. Установите ограничение ретрансляции, позволяющее только локальным клиентам (например, 127.0.0.1) ретранслировать почту через сервер. Даже если каким-то образом вышеперечисленные 2 меры не сработают, внешним клиентам будет разрешено отправлять почту только в локальный домен сервера. Попытки внешних клиентов отправить почту (ретрансляционный доступ) во внешние домены будут отклонены сервером SMTP.

Вот руководство о том, как на самом деле делать шаги 2 и 3. №2 выше показан в шаге 12 руководства, а №3 выше показан в шагах 13 и 15 руководства.

Зачем нужны эти 3 слоя? Краткий ответ: минимизируйте риск инцидентов безопасности и других нежелательных проблем. Длинный ответ:

  1. С точки зрения безопасности, держите все под замком. Доступ должен предоставляться по мере необходимости - это универсальная передовая практика, которая много раз спасала меня.
  2. Даже если кто-то другой с правами администратора начинает вносить изменения на машине (например, отключать брандмауэр), даже случайно / непреднамеренно, вы можете спать спокойно, зная, что есть еще 2 меры безопасности.
  3. Когда кто-то с правами администратора начинает вносить изменения в конфигурацию сервера, ему придется быть вполне осознанным в изменении как настроек брандмауэра (или его отключения), так и настроек службы SMTP, за исключением саботажа или (надеюсь) одобренного, задокументированный запрос на изменение, вероятность внесения всех трех изменений довольно мала.

Надеюсь, это поможет! Удачи и береги себя!