Právě jsem provedl [test] [1], který mi řekl, že port 110 mé brány (debian squeeze) je viditelný zvenčí.
Je to krabička se dvěma síťovými kartami, eth0 je pro moji interní síť (192.168.1.0/24) a eth1 jde do „internetu“ (jako ppp0).
Je otevřený port 110 na vnějším připojení nutnost, když spustím postfix, použiji schránku ke shromažďování pošty pomocí fetchmailu a nechám poštu shromažďovat interními schránkami pomocí pop3 (popa3d)?
Je vše v pořádku pokud má můj postfix main.cf s takovými řádky?
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1
kde 192.168.1.0/24 je moje domácí síť a 192.168.1.1 je eth0 ?
Nebo jsem byl hloupý a otevřel port, který bych měl raději zavřít nebo být neviditelný pro vnější síť?
Odpovědět
Otevřený a dostupný port 110 (POP3) je zcela normální, pokud chcete spustit server POP. POP3 je možná trochu archaický / zastaralý a můžete zvážit použití IMAP, ale není s ním nic zásadně špatného.
Nevím, jaký test jste použili, ale je možné, že je signalizován jako problém, protože STARTTLS není podporován, což znamená, že hesla budou odesílána jasně. Protokol POP3 podporuje STARTTLS , ale zdá se, že to popa3d nemusí. Možná vy byste měli zvážit použití lepšího POP serveru, jako je Dovecot. Dovecot také podporuje ve svém konfiguračním souboru specifikaci, které IP adresy budete poslouchat, což popa3d také nepodporuje, takže možná budete chtít použít i tento, pokud chcete přijmout POP3 připojení pouze na WAN a ne na LAN.
Mimochodem, v otázce jste uvedli konfigurační směrnice Postfixu, které nemají nic společného s POP (nebo IMAP).
Komentáře
- No, ' sa POP server, a proto musí být otevřený port 110 – bu Jediné stroje, které mají shromažďovat poštu, jsou ve vnitřní síti. Je rozumné (nebo možné) otevřít port 110 na interním rozhraní (eth0) a zavřít jej pro externí rozhraní (eth1 / ppp0), nebo to naruší moji schopnost sbírat poštu u mého poskytovatele ' s poštovní server?
- popa3d se nejeví dostatečně konfigurovatelný, aby umožňoval vazbu na konkrétní rozhraní / adresu (tj. eth0 a ne eth1 nebo ppp0). S pravidly brány firewall to můžete vždy obejít, ale ' to není ani elegantní, ani dobré pro obranu do hloubky. Zničivější je, že se nezdá, že by ' t podporoval STARTTLS, což znamená, že hesla budou zasílána čistě. Z těchto dvou důvodů (zejména druhého) vám doporučuji použít lepší server POP, například Dovecot. Vyřeší to oba problémy za vás.