У меня есть веб-сервер, который также является моим почтовым сервером, на котором запущены dovecot и exim4. В настоящее время у меня есть 5 открытых портов, которые связаны с обслуживанием почты, мне это кажется чрезмерным. Это выделенный ящик, у меня есть root-доступ - и, что наиболее важно, я контролирую всех, кто получает почту из этого ящика, - поэтому я могу сказать им настроить свои почтовые клиенты так, как я предпочитаю.
25/tcp open smtp
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s
Вопросы:
Каков наиболее безопасный способ доставки почты?
Могу ли я закрыть порты 110 и 143 и просто сказать всем, чтобы их клиенты принимали на 993 и 995?
Является ли почта, обслуживаемая из 993/995, полностью зашифрованной, т. Е. Не может быть прослушана?
Каков наиболее безопасный способ доставки почты?
Мы могли бы полностью обсудить PGP / SMIME, но да, SSL / TLS подходят для общения с клиентами.
Могу ли я закрыть порты 110 и 143 и просто сказать всем, чтобы их клиенты принимали на 993 и 995?
Да. Я бы пошел лучше и просто сделал бы IMAP / S - POP плохой.
Полностью ли зашифрованная почта, обслуживаемая из 993/995, т.е. не может быть перехвачена?
Ну, вы потенциально можете настроить их на незашифрованные на этих портах ... но да, эти прослушиватели должны обеспечивать шифрование SSL / TLS для всех взаимодействий с клиентами.
Обратите внимание, что все эти 4 предназначены для связи с почтовыми клиентами - порт 25, SMTP, имеет дополнительное шифрование, которое широко не применяется; ваше общение с клиентом может быть скрыто, но ваша ретрансляционная связь вряд ли будет.
Правильно. Настройте dovecot на игнорирование pop3 и imap в пользу pop3s и imap, и вы предотвратите получение людьми паролей (и содержимого электронной почты) путем прослушивания этих портов. В любом случае вам следует отвести людей от pop, поскольку у него обычно очень глупые реализации.
Вы также должны настроить exim так, чтобы он не разрешал аутентификацию для соединений через порт 25 (и прослушивал 465 для SSL-зашифрованного SMTP) и требовал аутентификации, прежде чем он разрешит ретранслируемое сообщение.
993 и 995 - это порты для IMAP-over-SSL и POP3-over-SSL соответственно.
На самом деле возможно использовать 110 и 143 с использованием TLS и, следовательно, зашифрованные. Это легко включить в Dovecot. Фактически, когда Dovecot говорит о «SSL», на самом деле это означает и SSL, и TLS, поэтому, если у вас есть ssl = yes в вашей конфигурации Dovecot TLS уже должен быть включен.
Если вы хотите отключить аутентификацию с открытым текстом, установите ssl=required и disable_plaintext_auth=yes.