Jeg har lige lavet [en test] [1], der fortalte mig, at min gateway “s (debian squeeze) port 110 er synlig udefra.
Det er en boks med to netværkskort, eth0 er til mit interne netværk (192.168.1.0/24) og eth1 går til “internettet” (som ppp0).
Er en åben port 110 på den udvendige forbindelse er det en nødvendighed, når jeg kører postfix, bruger boksen til at indsamle mail ved hjælp af fetchmail og få posten indsamlet af interne bokse ved hjælp af pop3 (popa3d)?
Er alt i orden så længe min postfix har en main.cf med linjer som disse?
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 hvor 192.168.1.0/24 er mit hjemmenetværk og 192.168.1.1 er eth0 ?
Eller var jeg dum og åbnede en port, som jeg hellere skulle have lukket eller usynlig for det eksterne netværk?
Svar
At have port 110 (POP3) åben og tilgængelig er helt normalt, hvis du har til hensigt at køre en POP-server. POP3 er måske lidt arkaisk / forældet, og du kan overveje at bruge IMAP i stedet, men der er ikke noget grundlæggende galt med det.
Jeg ved ikke, hvilken test du har brugt, men det kan være, at den er signaleret som et problem, fordi STARTTLS ikke understøttes, hvilket betyder, at adgangskoder vil blive sendt i clear. POP3-protokollen understøtter STARTTLS , men det ser ud til, at popa3d måske ikke. Måske du bør overveje at bruge en bedre POP-server, som f.eks. Dovecot. Dovecot understøtter også at specificere hvilke IP-adresser der skal lyttes til i sin konfigurationsfil, hvilken popa3d også ser ud til ikke at understøtte, så måske vil du måske også bruge det, hvis du vil acceptere POP3 forbindelser kun på WAN og ikke på LAN.
Forresten anførte du Postfix-konfigurationsdirektiver i dit spørgsmål, som ikke har noget at gøre med POP (eller IMAP).
Kommentarer
- Nå, det ' en POP-server, og som sådan skal port 110 være åben – bu t de eneste maskiner, der formodes at indsamle post, er på det interne netværk. Er det rimeligt (eller muligt) at åbne port 110 på den interne grænseflade (eth0) og lukke den for den eksterne grænseflade (eth1 / ppp0), eller vil dette bryde min evne til at indsamle post hos min udbyder ' s mailserver?
- popa3d ser ikke ud til at være konfigurerbar nok til at tillade binding til en bestemt grænseflade / adresse (dvs. eth0 og ikke eth1 eller ppp0). Du kan altid omgå det med firewallregler, men at ' hverken er elegant eller godt til forsvar i dybden. Mere ødelæggende synes det ' heller ikke at understøtte STARTTLS, hvilket betyder, at adgangskoder vil blive sendt i klar. Af disse to grunde (især den anden) anbefaler jeg, at du bruger en bedre POP-server, såsom Dovecot. Det løser begge problemer for dig.