Port 110 synlig for omverdenen – nødvendig eller en dårlig idé? (Norsk)

Jeg gjorde nettopp [en test] [1] som fortalte meg at gateway-porten (debian squeeze) 110 er synlig utenfra.

Det er en boks med to nettverkskort, eth0 er for mitt interne nettverk (192.168.1.0/24) og eth1 går til «internett» (som ppp0).

Er en åpen port 110 på utenforforbindelsen en nødvendighet når jeg kjører postfix, bruker boksen til å samle inn post ved hjelp av fetchmail, og har posten samlet inn i interne bokser ved hjelp av pop3 (popa3d)?

Er alt i orden så lenge postfikset mitt har en main.cf med linjer som disse?

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 

der 192.168.1.0/24 er hjemmenettverket mitt og 192.168.1.1 er eth0 ?

Eller var jeg dum og åpnet en port jeg heller burde ha lukket eller usynlig for det eksterne nettverket?

Svar

Å ha port 110 (POP3) åpen og tilgjengelig er helt normalt hvis du har tenkt å kjøre en POP-server. POP3 er kanskje litt arkaisk / foreldet, og du kan vurdere å bruke IMAP i stedet, men det er ingenting fundamentalt galt med det.

Jeg vet ikke hvilken test du brukte, men det kan være at den er signalisert som et problem fordi STARTTLS ikke støttes, noe som betyr at passord vil bli sendt i klar. POP3-protokollen støtter STARTTLS , men det virker som om popa3d kanskje ikke. Kanskje du bør vurdere å bruke en bedre POP-server, for eksempel Dovecot. Dovecot støtter også å spesifisere hvilke IP-adresser du vil lytte til i konfigurasjonsfilen, hvilken popa3d også ser ut til å ikke støtte, så kanskje du kanskje også vil bruke det hvis du vil godta POP3 tilkoblinger bare på WAN og ikke på LAN.

For øvrig listet du opp Postfix-konfigurasjonsdirektiver i spørsmålet ditt, som ikke har noe å gjøre med POP (eller IMAP).

Kommentarer

  • Vel, det ' en POP-server, og som sådan kreves port 110 å være åpen – bu de eneste maskinene som skal samle inn post er på det interne nettverket. Er det rimelig (eller mulig) å åpne port 110 på det interne grensesnittet (eth0) og lukke den for det eksterne grensesnittet (eth1 / ppp0), eller vil dette bryte min evne til å samle inn post hos min leverandør ' e-postserver?
  • popa3d ser ikke ut til å være konfigurerbar nok til å tillate binding til et bestemt grensesnitt / adresse (dvs. eth0 og ikke eth1 eller ppp0). Du kan alltid omgå det med brannmurregler, men at ' er verken elegant eller bra for forsvar i dybden. Mer ødeleggende ser det ikke ut til at ' støtter STARTTLS, noe som betyr at passord vil bli sendt i klar. Av disse to grunnene (spesielt den andre) anbefaler jeg at du bruker en bedre POP-server, for eksempel Dovecot. Det vil løse begge problemene for deg.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *