Ho appena fatto [un test] [1] che mi ha detto che la porta 110 del mio gateway (debian squeeze) è visibile dallesterno.
È “una scatola con due schede di rete, eth0 è per la mia rete interna (192.168.1.0/24) e eth1 va a” Internet “(come ppp0).
È una porta 110 aperta sulla connessione esterna una necessità quando eseguo postfix, uso la casella per raccogliere la posta utilizzando fetchmail e la posta viene raccolta dalle caselle interne utilizzando pop3 (popa3d)?
Va tutto bene fintanto che il mio postfix ha un main.cf con linee come queste?
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 dove 192.168.1.0/24 è la mia rete domestica e 192.168.1.1 è eth0 ?
O sono stato stupido e ho aperto una porta che avrei dovuto chiudere o essere invisibile alla rete esterna?
Risposta
Avere la porta 110 (POP3) aperta e disponibile è del tutto normale se si intende eseguire un server POP. POP3 è forse un po arcaico / obsoleto e potresti prendere in considerazione lutilizzo di IMAP, ma non cè niente di fondamentalmente sbagliato in esso.
Non so quale test hai usato, ma potrebbe essere che sia segnalato come un problema perché STARTTLS non è supportato, il che significa che le password verranno inviate in chiaro. Il protocollo POP3 supporta STARTTLS ma sembra che popa3d potrebbe non esserlo. Forse tu dovresti considerare lutilizzo di un server POP migliore, come Dovecot. Dovecot supporta anche la specifica di quali indirizzi IP ascoltare nel suo file di configurazione, che anche popa3d sembra non supportare, quindi forse potresti anche volerlo usare se vuoi accettare POP3 connessioni solo sulla WAN e non sulla LAN.
A proposito, nella tua domanda hai elencato le direttive di configurazione di Postfix, che non hanno nulla a che fare con POP (o IMAP).
Commenti
- Beh, ' è un server POP e, come tale, la porta 110 deve essere aperta – bu t le uniche macchine che dovrebbero raccogliere la posta sono sulla rete interna. È ragionevole (o possibile) aprire la porta 110 sullinterfaccia interna (eth0) e chiuderla per linterfaccia esterna (eth1 / ppp0), o questo interromperà la mia capacità di raccogliere la posta presso il mio provider ' s server di posta?
- popa3d non sembra essere abbastanza configurabile da consentire il collegamento a una specifica interfaccia / indirizzo (cioè eth0 e non eth1 o ppp0). Potresti sempre aggirare questo problema con le regole del firewall, ma ' non è né elegante né buono per la difesa in profondità. Ancora più devastante, non ' sembra supportare STARTTLS, il che significa che le password verranno inviate in chiaro. Per questi due motivi (soprattutto il secondo), ti consiglio di utilizzare un server POP migliore, come Dovecot. Risolverà entrambi i problemi per te.