我们的大部分内容都存储在 Cloudflare 中。
但是,某些服务(例如邮件(例如:mail.mydomain.com MX 记录))无法通过 cloudflare 推送,它们会暴露我们的邮件服务器的 IP,这使得我们很容易发现基础设施所在的位置,因为它们都共享相同的块和组织名称(根据 ARIN whois)。
由于我们的邮件服务器和虚拟机位于同一托管设施,因此知道邮件服务器的 IP 会暴露 IP 块并增加我们的攻击面。我们使用 postfix/dovecot 托管自己的邮件服务器,将其移动到 Gmail 等公共邮件提供商是不切实际的。
因此,我想要做的是设置某种类型的代理,有点像 Cloudflare 在公共云实例(例如 AWS)上对 Web 端口 80/443 所做的那样,并将我们的 MX 记录指向该代理,然后接受端口 25 上的传入邮件连接并将通过该端口的所有内容中继/代理/隧道传输到真正的原始服务器。
我确信这样的事情一定存在。如果没有,有人知道如何设置这样的简单安全隧道或代理吗?
谢谢!
答案1
我们也遇到了同样的问题。最后,我们通过冒着邮件服务器的公共风险并将其放在具有固定 IP 的 VPS 上解决了这个问题。我们使用 Cloudflare 服务保护所有其他服务。在 Cloudflare 找到解决方案之前,情况将一直如此。
答案2
不是Cloudflare 电子邮件路由这个问题的答案是什么(至少对于传入流量而言)?
Cloudflare 不处理传出部分,使用 VPS 或某种传出电子邮件服务可能是唯一的选择。请确保正确设置您的客户端(以便它们使用指定的传出网关),如果它们通过隐藏在 Cloudflare 后面的基础设施,它们仍会通过电子邮件标头泄露其 IP 地址。