Acabo de hacer [una prueba] [1] que me dijo que el puerto 110 de mi puerta de enlace (debian squeeze) es visible desde el exterior.
Es una caja con dos tarjetas de red, eth0 es para mi red interna (192.168.1.0/24) y eth1 va a «Internet» (como ppp0).
Es un puerto abierto 110 en la conexión externa es una necesidad cuando ejecuto postfix, uso el buzón para recolectar correo usando fetchmail y hago que el correo sea recolectado por buzones internos usando pop3 (popa3d)?
¿Está todo bien siempre que mi postfix tenga un main.cf con líneas como estas?
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 donde 192.168.1.0/24 es mi red doméstica y 192.168.1.1 es eth0 ?
¿O fui estúpido y abrí un puerto que debería haber cerrado o invisible para la red externa?
Respuesta
Tener el puerto 110 (POP3) abierto y disponible es completamente normal si su intención es ejecutar un servidor POP. POP3 es quizás un poco arcaico / obsoleto y podría considerar usar IMAP en su lugar, pero no hay nada fundamentalmente malo en ello.
No sé qué prueba usó, pero podría ser que esté señalado como un problema porque STARTTLS no es compatible, lo que significa que las contraseñas se enviarán sin cifrar. El protocolo POP3 es compatible con STARTTLS , pero parece que popa3d podría no serlo. Quizás debería considerar el uso de un mejor servidor POP, como Dovecot. Dovecot también admite la especificación de las direcciones IP para escuchar en su archivo de configuración, que popa3d también parece no ser compatible, por lo que quizás también desee usarlo si desea aceptar POP3 conexiones solo en la WAN y no en la LAN.
Por cierto, enumeró las directivas de configuración de Postfix en su pregunta, que no tienen nada que ver con POP (o IMAP).
Comentarios
- Bueno, es ' un servidor POP, y como tal, el puerto 110 debe estar abierto – bu t Las únicas máquinas que se supone que deben recolectar correo están en la red interna. ¿Es razonable (o posible) abrir el puerto 110 en la interfaz interna (eth0) y cerrarlo para la interfaz externa (eth1 / ppp0), o esto afectará mi capacidad para recolectar correo en mi proveedor ' s servidor de correo?
- popa3d no parece ser lo suficientemente configurable como para permitir el enlace a una interfaz / dirección específica (es decir, eth0 y no eth1 o ppp0). Siempre puede solucionarlo con reglas de firewall, pero eso ' no es elegante ni bueno para la defensa en profundidad. Más devastador, tampoco ' parece admitir STARTTLS, lo que significa que las contraseñas se enviarán sin cifrar. Por estas dos razones (especialmente la segunda), le recomiendo que utilice un servidor POP mejor, como Dovecot. Resolverá ambos problemas por usted.