Porta 110 visível para o mundo exterior – necessária ou uma má ideia?

Acabei de fazer [um teste] [1] que me disse que a porta 110 do meu gateway “s (debian squeeze) está visível de fora.

É uma caixa com duas placas de rede, a eth0 é para minha rede interna (192.168.1.0/24) e a eth1 vai para “a internet” (como ppp0).

É uma porta 110 aberta na conexão externa uma necessidade quando eu executo o postfix, uso a caixa para coletar correspondência usando fetchmail, e tenho a correspondência coletada por caixas internas usando pop3 (popa3d)?

Está tudo bem contanto que meu postfix tenha um main.cf com linhas como estas?

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 

onde 192.168.1.0/24 é minha rede doméstica e 192.168.1.1 é eth0 ?

Ou fui estúpido e abri uma porta que deveria ter fechado ou invisível para a rede externa?

Resposta

Ter a porta 110 (POP3) aberta e disponível é completamente normal se sua intenção é executar um servidor POP. POP3 é talvez um pouco arcaico / obsoleto e você pode considerar o uso de IMAP, mas não há nada de fundamentalmente errado com ele.

Não sei qual teste você usou, mas pode ser que esteja sinalizado como um problema porque STARTTLS não é compatível, o que significa que as senhas serão enviadas em claro. O protocolo POP3 oferece suporte a STARTTLS , mas parece que popa3d não pode. Talvez você deve considerar o uso de um servidor POP melhor, como o Dovecot. O Dovecot também suporta a especificação de quais endereços IP ouvir em seu arquivo de configuração, que popa3d também parece não ser compatível, então talvez você também queira usá-lo se quiser aceitar o POP3 conexões apenas na WAN e não na LAN.

A propósito, você listou as diretivas de configuração do Postfix em sua pergunta, que não têm nada a ver com POP (ou IMAP).

Comentários

  • Bem, é ' um servidor POP e, como tal, a porta 110 deve ser aberta – bu t as únicas máquinas que devem coletar mensagens estão na rede interna. É razoável (ou possível) abrir a porta 110 na interface interna (eth0) e fechá-la para a interface externa (eth1 / ppp0) ou isso interromperá minha capacidade de coletar mensagens em meu provedor ' s servidor de email?
  • popa3d não parece ser configurável o suficiente para permitir a ligação a uma interface / endereço específico (ou seja, eth0 e não eth1 ou ppp0). Você sempre pode contornar isso com regras de firewall, mas isso ' não é elegante nem bom para defesa em profundidade. Mais devastadoramente, ele também não ' não suporta STARTTLS, o que significa que as senhas serão enviadas em claro. Por esses dois motivos (especialmente o segundo), recomendo que você use um servidor POP melhor, como o Dovecot. Isso resolverá os dois problemas para você.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *