Я заблокировал исходящий порт 25, чтобы предотвратить рассылку спама с моих серверов.
Однако я не очень хорошо знаком с SMTP и слышал, что такие порты, как 465 и 587, также могут использоваться для отправки почты, но через TLS.
Должен ли я блокировать и эти порты, чтобы предотвратить рассылку спама? Есть ли другие порты, которые я также должен заблокировать?
Безопасно ли ублокировать 587, порт отправки SMTP? упоминает только 587, но меня интересуют и другие порты.
Обычно порты 465 и 587 требуют аутентификации пользователя перед приемом сообщений электронной почты - в этом случае вам не нужно блокировать эти порты (для того, чтобы быть открытым ретранслятором), поскольку только пользователи, прошедшие аутентификацию в вашей системе, могут используй их. Тем не менее, если вы не открываете свою систему для входящих пользователей, их блокировка - хорошая идея (меньше доступа = меньше рисков для безопасности).
Как правило, безопасный брандмауэр должен быть построен по принципу «запретить по умолчанию», и я предлагаю сделать это здесь, если можете. Вам не нужны 587 или 465, чтобы получать электронную почту от других пользователей.
Наконец, если ваша система не является открытым ретранслятором, ваша система, скорее всего, будет рассылать спам, если учетная запись пользователя (или веб-сайт, использующий почтовый сервер) будет скомпрометирован. Усиление почтового сервера не поможет такому поведению - это вопрос обучения пользователей и блокировки того, что может отправлять электронную почту.
Если вам нужен запасной вариант, вы всегда можете попытаться запустить фильтры для исходящей почты или передать эту задачу стороннему провайдеру, но это может оказаться излишним для ваших нужд.