Обратите внимание на следующее:
192-168-1-106:~ michael$ telnet <remote_server_ip> 25
Trying <remote_server_ip>...
Connected to li*****.linode.com.
Escape character is '^]'.
220 mindinscription.net ESMTP Postfix (Ubuntu)
quit
221 2.0.0 Bye
Connection closed by foreign host.
Это очень плохо? как защитить порт 25 от злоумышленников? Я уже настроил брандмауэр, но не очень уверен, что делать в этом случае.
В принципе, я хотел бы использовать этот сервер только для отправки электронных писем в виде предупреждений, не получая никаких внешних писем.
Заранее большое спасибо за помощь.
Если вы не ожидаете получать электронную почту через SMTP, вы можете либо (а) заблокировать порт 25 на вашем брандмауэре, либо (б) настроить свой MTA так, чтобы он не прослушивал входящие соединения на порте 25. Последний вариант находится в разделе во многих отношениях лучшее решение, но как именно вы этого добьетесь, зависит от вашего MTA. Похоже, вы используете Postfix, поэтому это может помочь:
Вы можете просто заблокировать входящий порт 25. Это сработает, если вы заинтересованы только в отправке предупреждений на учетные записи электронной почты на почтовых серверах, которые вы контролируете.
Если вы отправляете сообщения на учетные записи электронной почты на серверах, которые вы не контролируете, ваши электронные письма с предупреждениями могут быть отброшены как спам, если вы не настроите свои записи DNS mx / spf соответствующим образом и не настроите свой сервер правильно. Для этого может потребоваться открыть 25 входящий порт. В качестве альтернативы вы все равно можете заблокировать входящий порт 25 и использовать правильно настроенный почтовый сервер в качестве ретранслятора для писем с сервера приложений.
Может я что-то здесь упускаю но это мои мысли ...
Короткий ответ: нет, это совсем не плохо. Если вы не являетесь открытым ретранслятором и злоумышленник не знает имени пользователя и пароля к учетной записи электронной почты, то именно так должен работать почтовый сервер. Удаление баннеров - это зачастую театр безопасности, ИМХО.
Более длинный ответ: настройка брандмауэра - это первый шаг к защите вашего сервера. Следующим шагом будет убедиться, что это не открытый ретранслятор, что означает, что спамер не может использовать ваш почтовый сервер для отправки почты с вашего сервера без учетной записи на вашем сервере. Вы можете проверить это на Панель инструментов MX. Затем вы можете настроить fail2ban на своем сервере. Это предотвратит / предупредит вас о атаках грубой силы на ваш сервер.
Также вам следует подумать о настройке Mx Toolbox, чтобы он был бесплатным и предупреждал вас о проблемах с вашим почтовым сервером.
Это неплохо, если соединение не было установлено за пределами брандмауэра. Исходя из адреса отправителя, вы находитесь в частной сети, и я предполагаю, что пункт назначения тоже находится в той же сети. Если брандмауэр настроен правильно (то есть он находится между Интернетом и сервером smtp), все в порядке, поскольку он может устанавливать исходящие соединения со своим сервером пересылки smtp без каких-либо входящих запросов, достигающих его.
Брандмауэр разрешит (если он простой) все исходящие соединения с предполагаемыми ответами, но не разрешит входящие соединения через порт 25.