如何保护我的 SMTP 端口不被外部 IP telnet 访问?
答案1
你想做什么?你如何将“不被‘telnet’”(无论其含义是什么)与保护服务器联系起来?你需要允许访问你的 SMTP 端口,以便其他 SMTP 服务器可以连接并传递邮件,因此你要么需要重新考虑你要做什么,要么以你要求的方式保护此 Exchange 服务器的最佳方法是添加和删除程序并卸载它。
当然,如果您只有一台邮件服务器,并且担心它,您可以采取一些措施来保护它。“经典”的 Microsoft 方法是部署另一台 Exchange 服务器作为“边缘”服务器。当然,如果您付出一些努力,您可以将许多开源邮件服务器作为“边缘”服务器,做类似的事情,甚至可以将您的“边缘”外包给 messagelabs 和 mimecast 等公司,并将您的邮件服务器锁定为仅接受来自其服务器的消息。最后一个方法并不便宜,但非常有效。
但就目前情况而言,如果你想那服务器直接从互联网接收电子邮件,那么你必须允许在端口 25 上连接它(并接受一些连接将使用 telnet 进行,如果你的服务器是安全的,并且你的服务器是不是否则是安全的,那么阻止 telnet 应用程序仍然无法保护机器的安全。这就是运行连接到互联网的服务器所付出的代价。
答案2
如果您的意思是要阻止某人远程登录到端口 25 并发出 SMTP 命令,那么您做不到。SMTP 基本上只是带有命令和数据的到端口 25 的网络连接,因此任何能够复制该命令和数据的东西都可以做与邮件客户端相同的事情。试图阻止它意味着破坏 SMTP 的设计工作方式。
附加信息:从问题标题来看,似乎您可能已成为偶尔流传的有关安全性的某些偏执夸张言论的牺牲品。永远不要忘记,安全性不仅关乎让好人进来,还关乎阻止坏人进来,而安全性之所以很难,是因为需要在两者之间取得正确的平衡。对于 SMTP,通过端口 25 进行连接是外部电子邮件服务器向您的服务器发送电子邮件的方法,因此它绝对属于“让好人进来”的范畴。
如果您有一个更具体的问题促使您提出这个问题,那么我会给出我的惯常口头禅“关注您想要实现的目标而不是您想要如何实现它”,并要求提供有关该具体问题的更多信息。