Если настраиваете почтовый сервер. Какой домен лучше всего использовать для записи PTR IP?
Обычно лучше использовать mail.domain.com или просто domain.com?
Я понимаю, что если установлена запись PTR, некоторые почтовые провайдеры будут пытаться получить ответ HELO с исходного адреса? Поскольку я отправляю почту только со своего собственного сервера, И это делается с помощью моего кода, я не думал, что необходимо открывать порт 25 в настройках iptables. Но похоже, что мне может понадобиться, чтобы почтовые провайдеры сделали HELO, верно? Есть ли какие-либо последствия для безопасности при открытии порта 25, даже если я отправляю почту со своего собственного сервера?
Запись PTR должна указывать на имя хоста. Не указывайте это на доменное имя. Если имя почтового сервера mail в домене example.com, затем:
mail.example.com -> 1.2.3.4
and
4.3.2.1.IN-ADDR.ARPA -> mail.example.com
Большинство почтовых серверов будут пытаться проверить, что указанная выше взаимосвязь верна.
Когда почтовый сервер подключается, он открывает диалог с «EHLO mail.example.com». Затем получающий почтовый сервер проверяет прямой и обратный поиск (обычно это не требуется, но в большинстве случаев это необходимо).
Если вы хотите получать электронную почту, вы должны принять ее через порт 25, и это также нужно будет настроить в вашем брандмауэре (iptables). Если вы не получаете электронную почту на этом сервере, вам необязательно иметь открытый порт 25 (для входящих соединений). Это вполне приемлемая конфигурация почтового сервера для отправки только электронной почты. Чаще всего в этой ситуации другой сервер обрабатывает получение электронной почты для домена, но это не требуется. Ваш брандмауэр должен будет разрешать исходящие подключения к порту назначения 25. Брандмауэры довольно часто не фильтровать исходящие соединения (хотя это является обычным является среда с высоким уровнем безопасности).
Каждый порт, который вы открываете на своем брандмауэре, потенциально подвергает вас новым угрозам. Никогда не открывайте порт, если не знаете, что это необходимо. Даже в этом случае это следует делать только после того, как были приняты разумные меры для защиты сервера от распространенных векторов атак для соответствующей службы.