Tein juuri [testin] [1], joka kertoi minulle yhdyskäytäväni (debian-puristus) -portin 110 on näkyvissä ulkopuolelta.
Siinä on kaksi verkkokorttia, eth0 on sisäistä verkkoani varten (192.168.1.0/24) ja eth1 siirtyy ”internetiin” (nimellä ppp0).
Onko portti 110 avoin Ulkoyhteydessä on välttämätöntä, kun suoritan postfix-sovelluksen, kerää postilaatikkoa käyttämällä postilaatikkoa fetchmaililla ja pyydä keräämään postia sisäisissä laatikoissa pop3: lla (popa3d)?
Onko kaikki kunnossa kunhan postfix-tiedostossa on main.cf tällaisilla viivoilla?
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 missä 192.168.1.0/24 on kotiverkkoni ja 192.168.1.1 on eth0 ?
Vai olinko tyhmä ja avasin portin, jonka olisi pitänyt mieluummin olla suljettu tai näkymätön ulkoverkolle?
Vastaa
Jos portti 110 (POP3) on auki ja käytettävissä, se on täysin normaalia, jos aiot käyttää POP-palvelinta. POP3 on ehkä hieman arkaainen / vanhentunut ja voit harkita IMAP: n käyttöä, mutta siinä ei ole mitään perusteellisesti vikaa.
En tiedä mitä testiä käytit, mutta voi olla, että siitä on ilmoitettu ongelmana, koska STARTTLS: ää ei tueta, mikä tarkoittaa, että salasanat lähetetään selkeästi. POP3-protokolla tukee STARTTLS: ää , mutta näyttää siltä, että popa3d ei ehkä. Ehkä sinä tulisi harkita paremman POP-palvelimen, kuten Dovecot, käyttöä.Dovecot tukee myös määrittelemään, mitkä IP-osoitteet kuunneltava sen asetustiedostossa, mikä popa3d ei myöskään näytä tukevan, joten ehkä haluat ehkä käyttää sitä, jos haluat hyväksyä POP3: n yhteydet vain WAN-verkossa eikä lähiverkossa.
Muuten, luetelit kysymyksessäsi Postfix-määritysdirektiivejä, joilla ei ole mitään tekemistä POP: n (tai IMAP: n) kanssa.
Kommentit
- No, se ' on POP-palvelin, ja sellaisenaan portin 110 on oltava auki – bu t Ainoat koneet, joiden on tarkoitus kerätä postia, ovat sisäisessä verkossa. Onko järkevää (tai mahdollista) avata portti 110 sisäisessä käyttöliittymässä (eth0) ja sulkea se ulkoista käyttöliittymää varten (eth1 / ppp0), vai rikkooko tämä kykyäni kerätä postia palveluntarjoajaltani ' s-postipalvelin?
- popa3d ei näytä olevan tarpeeksi konfiguroitavissa salliakseen sitomisen tiettyyn rajapintaan / osoitteeseen (ts. eth0 eikä eth1 tai ppp0). Voit aina kiertää sen palomuurisääntöjen avulla, mutta se ' ei ole tyylikäs eikä hyvä puolustukseen perusteellisesti. Tuhoisammin se ei ' näytä tukevan myöskään STARTTLS: ää, mikä tarkoittaa, että salasanat lähetetään selkeästi. Näistä kahdesta syystä (etenkin toisesta) suosittelen, että käytät parempaa POP-palvelinta, kuten Dovecot. Se ratkaisee molemmat ongelmat puolestasi.