Мы используем CentOS 6.5, и нам нужно отправлять электронную почту, но не нужно получать. Я хотел бы заблокировать все входящие попытки входа в postfix, pop3 и imap. Я нашел подсказки для iptables или fail2ban, но я хотел бы заблокировать все, а не только по IP. Я уже сделал "inet_interfaces = loopback-only" в main.cf постфикса, но все равно получаю такие сообщения (я заменил реальные IP-адреса на "ip" и т. Д.):
pop3d: Connection, ip=[::ffff:ip]
pop3d: IMAP connect from @ [::ffff:ip]checkmailpasswd: FAILED: brooklyn - short names not allowed from @ [::ffff:ip]ERR: LOGIN FAILED, ip=[::ffff:ip]
pop3d: LOGOUT, ip=[::ffff:ip]
postfix/smtpd[5640]: connect from unknown[ip]
postfix/smtpd[5640]: lost connection after UNKNOWN from unknown[ip]
Итак, мой вопрос: может ли это быть серьезной проблемой безопасности и что я могу сделать, чтобы заблокировать эти попытки?
Пожалуйста, проявите ко мне терпение, я не системный администратор, мне просто нужно это сделать.
Вот текущий результат "iptables -L -n -v":
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Большое спасибо за ваши рекомендации. Отключение POP и IMAP звучит неплохо. После небольшого исследования я обнаружил, что couriertcpd делает это:
netstat -lnp | grep courier
tcp 0 0 :::110 :::* LISTEN 1143/couriertcpd
tcp 0 0 :::143 :::* LISTEN 1125/couriertcpd
tcp 0 0 :::993 :::* LISTEN 1135/couriertcpd
tcp 0 0 :::995 :::* LISTEN 1152/couriertcpd
Затем я нашел в "/etc/init.d/courier-imap":
daemon_name=couriertcpd
Так что "курьер-имап" должна быть соответствующей службой.
Пытаться
iptables -A INPUT -p tcp -m multiport --dports 25,110,143,993,995 -j REJECT
Это должно блокировать все входящие попытки к TCP-портам 25 (SMTP), IMAP (открытый текст и защищенный; 143 и 993) и POP (то же самое, 110 и 995). Если postfix прослушивает порт MUA (возможно, 587), вам также необходимо добавить его в список.
Тем не менее, приведенное выше предложение Джона Олда просто не запускать службы, которые вам не нужны, тоже очень хорошее.