请考虑以下几点:
192-168-1-106:~ michael$ telnet <remote_server_ip> 25
Trying <remote_server_ip>...
Connected to li*****.linode.com.
Escape character is '^]'.
220 mindinscription.net ESMTP Postfix (Ubuntu)
quit
221 2.0.0 Bye
Connection closed by foreign host.
这很糟糕吗?如何保护端口 25 免受恶意攻击者的攻击?我已经设置了防火墙,但不太确定在这种情况下该怎么做。
基本上,我只想使用这台服务器发送电子邮件作为警报消息,而不是接收任何外部电子邮件。
非常感谢您的帮助。
答案1
如果您不希望通过 SMTP 接收电子邮件,那么您可以 (a) 阻止防火墙上的端口 25,或 (b) 配置 MTA,使其不监听端口 25 上的传入连接。后者在许多方面都是更好的解决方案,但具体如何实现取决于您的 MTA。看起来您正在运行 Postfix,因此这可能会有所帮助:
答案2
您可以简单地阻止端口 25 入站。如果您只想向您控制的电子邮件服务器上的电子邮件帐户发送警报,这种方法就很有效。
如果您向不受您控制的服务器上的电子邮件帐户发送电子邮件,则您的警报电子邮件可能会被视为垃圾邮件,除非您正确设置 DNS mx/spf 记录并正确配置服务器。这可能需要您打开端口 25 入站。作为替代方案,您仍然可以阻止端口 25 入站并使用正确配置的电子邮件服务器作为来自应用程序服务器的电子邮件的中继。
答案3
也许我在这里遗漏了一些东西,但这些是我的想法......
简短的回答是,这根本不坏。如果您不是开放中继,并且恶意人员不知道电子邮件帐户的用户名和密码,那么电子邮件服务器应该如何工作。在我看来,删除横幅通常是安全剧。
长话短说,设置防火墙是保护服务器的第一步。下一步是确保它不是开放中继,这意味着垃圾邮件发送者无法使用您的邮件服务器在没有您的服务器上的帐户的情况下将邮件从您的服务器发送出去。您可以在MX 工具箱。接下来,您可以在服务器上设置 fail2ban。它将阻止/警告您针对服务器的暴力攻击。
您还应该考虑设置 Mx Toolbox 监控,它是免费的,并且可以在您的电子邮件服务器出现问题时向您发出警报。
答案4
只要连接不是从防火墙外部建立的,这种情况还不算糟糕。从发起地址来看,您处于私有网络中,我假设目标也位于同一网络中。如果防火墙设置正确(即它位于互联网和 smtp 服务器之间),那么您就没问题,因为它可以与其 smtp 转发器建立传出连接,而无需任何传入请求到达它。
防火墙将允许(如果是简单类型)所有出站连接(假定有回复),但不允许端口 25 上的任何传入连接。