Я пытаюсь ограничить открытые порты моего сервера в CSF. Настройки порта IPv4 включают:
# Allow incoming TCP ports
TCP_IN = "22,25,53,80,110,143,443,587,3654,53343”
# Allow outgoing TCP ports
TCP_OUT = "22,53,80,113,443,465,995,3654"
# Allow incoming UDP ports
UDP_IN = "53"
# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "53,113,123"
Как видите, у меня открыт порт 25 в TCP_IN, но я удалил его из TCP_OUT. Причина в том, что я хотел, чтобы мои письма передавались через smtps, поэтому вместо этого у меня открыт порт 465 в TCP_OUT. Поскольку я использую Rouncube в Directpanel, я также установил следующее в файле config.inc.php Rouncube:
$config['default_host'] = 'ssl://mail.mydomain.com';
$config['smtp_server'] = 'ssl://mail.mydomain.com';
$config['smtp_port'] = 465;
Однако, когда я удаляю порт 25 из TCP_OUT, я больше не могу отправлять письма, скажем, в Gmail, хотя я могу отправлять письма себе. Но я могу получать все письма.
Пожалуйста, дайте мне знать, если мне понадобятся дальнейшие изменения. Нужно ли мне вообще отключать порт 25, чтобы мои письма отправлялись через ssl?
Спасибо
Шифрование является гибким (т. Е. Использует STARTTLS). Подумайте об этом, не все, кому вы отправляете электронное письмо, будут поддерживать TLS.
Итак, чтобы отправлять почту в Gmail, вы должны иметь возможность подключаться к MX Gmail по TCP 25. Для того, чтобы это было зашифровано, обе стороны должны поддерживать STARTTLS. STARTTLS бывает оппортунистически вместо использования другого порта. Так уж получилось, что gmail поддерживает STARTTLS, поэтому соединение будет автоматически обновлено до зашифрованного.
TCP 587 (SMTP-Submission) предназначен для аутентифицированных и опционально зашифрованных (с использованием STARTTLS) соединений от ваших пользователей.
Если вы хотите, чтобы ваши пользователи использовали шифрование, это необходимо настроить на вашем MTA. Вы также можете использовать TCP 465 для аутентифицированных соединений от ваших пользователей, однако 465 использует TLS вместо STARTTLS.
.