Ik heb net [een test] [1] gedaan die me vertelde dat de poort 110 (debian squeeze) van mijn gateway van buitenaf zichtbaar is.
Het is een doos met twee netwerkkaarten, eth0 is voor mijn interne netwerk (192.168.1.0/24) en eth1 gaat naar “internet” (als ppp0).
Is een open poort 110 op de externe verbinding een noodzaak wanneer ik postfix start, de box gebruik om e-mail te verzamelen met behulp van fetchmail en de e-mail te laten verzamelen door interne dozen met pop3 (popa3d)?
Is alles ok zolang mijn postfix een main.cf heeft met regels als deze?
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1
waarbij 192.168.1.0/24 mijn thuisnetwerk is en 192.168.1.1 eth0 ?
Of was ik dom en opende ik een poort die ik liever had gesloten of onzichtbaar had moeten maken voor het externe netwerk?
Antwoord
Het open en beschikbaar hebben van poort 110 (POP3) is volkomen normaal als het je bedoeling is om een POP-server te draaien. POP3 is misschien een beetje archaïsch / verouderd en je zou kunnen overwegen om in plaats daarvan IMAP te gebruiken, maar er is niets fundamenteel mis mee.
Ik weet niet welke test je hebt gebruikt, maar het kan zijn dat het wordt gesignaleerd als een probleem omdat STARTTLS niet wordt ondersteund, wat betekent dat wachtwoorden ongecodeerd worden verzonden. Het POP3-protocol ondersteunt STARTTLS , maar het lijkt erop dat popa3d dat niet doet. Misschien zou moeten overwegen om een betere POP-server te gebruiken, zoals Dovecot. Dovecot ondersteunt ook het specificeren naar welke IP-adressen moet worden geluisterd in het configuratiebestand, wat popa3d ook niet lijkt te ondersteunen, dus misschien wil je dat ook gebruiken als je POP3 wilt accepteren verbindingen alleen op het WAN en niet op het LAN.
Overigens heb je in je vraag Postfix-configuratierichtlijnen vermeld, die niets met POP (of IMAP) te maken hebben.
Opmerkingen
- Nou, het ' is een POP-server, en als zodanig moet poort 110 open zijn – bu De enige machines die mail zouden moeten verzamelen, bevinden zich op het interne netwerk. Is het redelijk (of mogelijk) om poort 110 op de interne interface (eth0) te openen en te sluiten voor de externe interface (eth1 / ppp0), of zal dit mijn vermogen om e-mail op te halen bij mijn provider breken ' s mailserver?
- popa3d lijkt niet configureerbaar genoeg te zijn om binding met een specifieke interface / adres mogelijk te maken (dwz eth0 en niet eth1 of ppp0). Je zou dat altijd kunnen omzeilen met firewallregels, maar dat ' is noch elegant, noch goed voor een diepgaande verdediging. Des te meer verwoestend is dat het ' t ook STARTTLS ondersteunt, wat betekent dat wachtwoorden ongecodeerd worden verzonden. Om deze twee redenen (vooral de tweede), raad ik je aan een betere POP-server te gebruiken, zoals Dovecot. Het lost beide problemen voor u op.