Port 110 visible du monde extérieur – nécessaire ou mauvaise idée?

Je viens de faire [un test] [1] qui ma dit que le port 110 de ma passerelle (debian squeeze) est visible de lextérieur.

Cest une boîte avec deux cartes réseau, eth0 est pour mon réseau interne (192.168.1.0/24) et eth1 va vers « Internet » (comme ppp0).

Est un port ouvert 110 sur la connexion externe, une nécessité lorsque jexécute postfix, utilise la boîte pour collecter le courrier en utilisant fetchmail, et que le courrier soit collecté par des boîtes internes en utilisant pop3 (popa3d)?

tant que mon suffixe a un fichier main.cf avec des lignes comme celles-ci?

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 

où 192.168.1.0/24 est mon réseau domestique et 192.168.1.1 est eth0 ?

Ou étais-je stupide et ai-je ouvert un port que jaurais plutôt dû fermer ou invisible pour le réseau extérieur?

Réponse

Avoir le port 110 (POP3) ouvert et disponible est tout à fait normal si votre intention est dexécuter un serveur POP. POP3 est peut-être un peu archaïque / obsolète et vous pourriez envisager dutiliser IMAP à la place, mais il ny a rien de fondamentalement mal à cela.

Je ne sais pas quel test vous avez utilisé, mais il se peut quil soit signalé comme un problème car STARTTLS nest pas pris en charge, ce qui signifie que les mots de passe seront envoyés en clair. Le protocole POP3 prend en charge STARTTLS , mais il semble que popa3d ne le soit pas. Peut-être que vous devrait envisager dutiliser un meilleur serveur POP, tel que Dovecot. Dovecot prend également en charge la spécification des adresses IP à écouter dans son fichier de configuration, que popa3d semble également ne pas prendre en charge, alors peut-être que vous voudrez peut-être également lutiliser si vous souhaitez accepter POP3 connexions uniquement sur le WAN et non sur le LAN.

Au fait, vous avez énuméré les directives de configuration de Postfix dans votre question, qui nont rien à voir avec POP (ou IMAP).

Commentaires

  • Eh bien, ' est un serveur POP, et en tant que tel, le port 110 doit être ouvert – bu t les seules machines censées collecter le courrier se trouvent sur le réseau interne. Est-il raisonnable (ou possible) douvrir le port 110 sur linterface interne (eth0) et de le fermer pour linterface externe (eth1 / ppp0), ou cela va-t-il interrompre ma capacité à collecter le courrier chez mon fournisseur '?
  • popa3d ne semble pas être suffisamment configurable pour permettre la liaison à une interface / adresse spécifique (ie eth0 et non eth1 ou ppp0). Vous pouvez toujours contourner cela avec des règles de pare-feu, mais ce ' nest ni élégant ni bon pour la défense en profondeur. Plus dévastateur, il ne semble pas ' prendre en charge STARTTLS non plus, ce qui signifie que les mots de passe seront envoyés en clair. Pour ces deux raisons (en particulier la seconde), je vous recommande dutiliser un meilleur serveur POP, tel que Dovecot. Cela résoudra les deux problèmes pour vous.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *