Port 110 widoczny dla świata zewnętrznego – konieczny czy zły pomysł?

Właśnie wykonałem [test] [1], który pokazał mi, że port 110 mojej bramy (debian squeeze) jest widoczny z zewnątrz.

To jest pudełko z dwiema kartami sieciowymi, eth0 to moja sieć wewnętrzna (192.168.1.0/24), a eth1 to „internet” (jako ppp0).

Jest otwartym portem 110 na zewnętrznym połączeniu jest to konieczne, gdy uruchamiam postfix, używam skrzynki do zbierania poczty za pomocą fetchmaila i mam odbieranie poczty przez skrzynki wewnętrzne przy użyciu pop3 (popa3d)?

Czy wszystko w porządku o ile mój postfix ma main.cf z takimi liniami?

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 

gdzie 192.168.1.0/24 to moja sieć domowa, a 192.168.1.1 to eth0 ?

A może byłem głupi i otworzyłem port, który powinienem był raczej zamknąć lub niewidoczny dla sieci zewnętrznej?

Odpowiedź

Posiadanie otwartego i dostępnego portu 110 (POP3) jest całkowicie normalne, jeśli zamierzasz uruchomić serwer POP. POP3 jest być może nieco archaiczny / przestarzały i możesz zamiast tego rozważyć użycie IMAP, ale nie ma w nim nic zasadniczo złego.

Nie wiem, jakiego testu użyłeś, ale może być tak, że jest to sygnalizowane jako problem, ponieważ STARTTLS nie jest obsługiwany, co oznacza, że hasła będą wysyłane jawnie. Protokół POP3 obsługuje STARTTLS , ale wygląda na to, że popa3d może tego nie robić. powinien rozważyć użycie lepszego serwera POP, takiego jak Dovecot. Dovecot obsługuje również określanie adresów IP do nasłuchiwania w swoim pliku konfiguracyjnym, którego popa3d również wydaje się nie obsługiwać, więc być może warto go również użyć, jeśli chcesz zaakceptować POP3 połączenia tylko w sieci WAN, a nie w sieci LAN.

Nawiasem mówiąc, w swoim pytaniu wymieniłeś dyrektywy konfiguracyjne Postfix, które nie mają nic wspólnego z POP (lub IMAP).

Komentarze

  • Cóż, ' jest serwerem POP i jako taki, port 110 musi być otwarty – bu t jedyne maszyny, które mają odbierać pocztę, znajdują się w sieci wewnętrznej. Czy rozsądne (lub możliwe) jest otwarcie portu 110 w interfejsie wewnętrznym (eth0) i zamknięcie go dla interfejsu zewnętrznego (eth1 / ppp0), czy może to zniweczy moją zdolność do zbierania poczty u mojego dostawcy ' serwer pocztowy?
  • popa3d nie wydaje się być wystarczająco konfigurowalny, aby umożliwić powiązanie z określonym interfejsem / adresem (tj. eth0, a nie eth1 lub ppp0). Zawsze można obejść ten problem za pomocą reguł zapory sieciowej, ale to ' nie jest ani eleganckie, ani dobre do głębokiej obrony. Co bardziej druzgocące, nie ' wydaje się również obsługiwać STARTTLS, co oznacza, że hasła będą wysyłane jawnie. Z tych dwóch powodów (szczególnie drugiego) polecam użycie lepszego serwera POP, takiego jak Dovecot. To rozwiąże oba problemy.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *