Port 110 für die Außenwelt sichtbar – notwendig oder eine schlechte Idee?

Ich habe gerade [einen Test] [1] durchgeführt, bei dem mir mitgeteilt wurde, dass der Port 110 meines Gateways (Debian Squeeze) von außen sichtbar ist.

Es ist eine Box mit zwei Netzwerkkarten, eth0 ist für mein internes Netzwerk (192.168.1.0/24) und eth1 geht an „das Internet“ (als ppp0).

Ist ein offener Port 110 Wenn ich Postfix ausführe, ist es für die externe Verbindung erforderlich, E-Mails mit fetchmail zu sammeln und die E-Mails mit pop3 (popa3d) von internen Boxen zu sammeln.

Ist alles in Ordnung? Solange mein Postfix eine main.cf mit Zeilen wie diesen hat?

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 

wobei 192.168.1.0/24 mein Heimnetzwerk und 192.168.1.1 eth0 ist ?

Oder war ich dumm und habe einen Port geöffnet, den ich für das externe Netzwerk lieber hätte schließen oder unsichtbar machen sollen?

Antwort

Port 110 (POP3) offen und verfügbar zu haben, ist völlig normal, wenn Sie beabsichtigen, einen POP-Server auszuführen. POP3 ist vielleicht etwas archaisch / veraltet und Sie könnten stattdessen IMAP verwenden, aber es ist nichts grundlegend Falsches daran.

Ich weiß nicht, welchen Test Sie verwendet haben, aber es kann sein, dass er signalisiert wird Dies ist ein Problem, da STARTTLS nicht unterstützt wird. Dies bedeutet, dass Kennwörter im Klartext gesendet werden. Das POP3-Protokoll unterstützt STARTTLS , aber es scheint, als ob popa3d dies möglicherweise nicht tut sollten in Betracht ziehen, einen besseren POP-Server wie Dovecot zu verwenden. Dovecot unterstützt auch die Angabe, welche IP-Adressen in seiner Konfigurationsdatei abgehört werden sollen, was popa3d ebenfalls nicht zu unterstützen scheint. Vielleicht möchten Sie dies auch verwenden, wenn Sie POP3 akzeptieren möchten Verbindungen nur im WAN und nicht im LAN.

Übrigens haben Sie in Ihrer Frage Postfix-Konfigurationsanweisungen aufgeführt, die nichts mit POP (oder IMAP) zu tun haben.

Kommentare

  • Nun, ' ist ein POP-Server, und als solcher muss Port 110 offen sein – bu t Die einzigen Computer, die E-Mails sammeln sollen, befinden sich im internen Netzwerk. Ist es sinnvoll (oder möglich), Port 110 auf der internen Schnittstelle (eth0) zu öffnen und für die externe Schnittstelle (eth1 / ppp0) zu schließen, oder wird dies meine Fähigkeit beeinträchtigen, E-Mails bei meinem Provider zu sammeln ' Mailserver?
  • popa3d scheint nicht konfigurierbar genug zu sein, um eine Bindung an eine bestimmte Schnittstelle / Adresse (dh eth0 und nicht eth1 oder ppp0) zu ermöglichen. Sie könnten das immer mit Firewall-Regeln umgehen, aber das ' ist weder elegant noch gut für die Tiefenverteidigung. Noch verheerender ist, dass ' STARTTLS ebenfalls nicht unterstützt, was bedeutet, dass Passwörter im Klartext gesendet werden. Aus diesen beiden Gründen (insbesondere dem zweiten) empfehle ich die Verwendung eines besseren POP-Servers wie Dovecot. Es wird beide Probleme für Sie lösen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.