如果设置邮件服务器。IP 的 PTR 记录最好使用哪个域名?
通常使用“mail.domain.com”还是仅使用“domain.com”更好?
我理解如果设置了 PTR 记录,某些邮件提供商会尝试从原始地址获取 HELO 响应?因为我只从自己的服务器发送邮件,并且是通过我的代码完成的,所以我认为没有必要在 iptables 设置上打开端口 25。但似乎我可能需要让邮件提供商执行 HELO,对吗?即使我从自己的服务器发送邮件,打开端口 25 是否会产生安全隐患?
答案1
PTR 记录应指向主机名。不要将其指向域名。如果邮件服务器的名称在mail域中example.com,则:
mail.example.com -> 1.2.3.4
and
4.3.2.1.IN-ADDR.ARPA -> mail.example.com
大多数邮件服务器都会尝试验证上述关系是否真实。
当邮件服务器连接时,它会打开带有“EHLO mail.example.com”的对话。然后,接收邮件服务器会检查正向和反向查找(通常这不是必需的,但大多数服务器都会这样做)。
如果您想接收电子邮件,您必须在端口 25 上接受它,并且这也必须在防火墙 (iptables) 中配置。如果您没有在此服务器上接收电子邮件,则不必打开端口 25(用于传入连接)。对于邮件服务器来说,仅发送电子邮件是一种完全可以接受的配置。在这种情况下,最常见的情况是另一台服务器负责接收域的电子邮件,但这不是必需的。您的防火墙必须允许到目标端口 25 的传出连接。防火墙通常不是过滤传出连接(尽管它是常见的是高安全性环境)。
防火墙上打开的每一个端口都可能使您面临新的威胁。除非您知道有必要,否则切勿打开端口。即便如此,也应在采取合理措施保护服务器免受相关服务的常见攻击媒介攻击后再打开端口。