Portul 110 vizibil pentru lumea exterioară – necesar sau o idee proastă?

Tocmai am făcut [un test] [1] care mi-a spus că portul 110 al gateway-ului meu (debian squeeze) este vizibil din exterior.

Este o cutie cu două plăci de rețea, eth0 este pentru rețeaua mea internă (192.168.1.0/24) și eth1 merge la „internet” (ca ppp0).

Este un port deschis 110 pentru conexiunea exterioară, o necesitate când execut postfix, folosesc caseta pentru a colecta e-mailuri folosind fetchmail și poșta colectată de către casetele interne folosind pop3 (popa3d)?

Este totul în regulă? atâta timp cât postfix-ul meu are main.cf cu linii ca acestea?

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 

unde 192.168.1.0/24 este rețeaua mea de domiciliu și 192.168.1.1 este eth0 ?

Sau am fost prost și am deschis un port pe care ar fi trebuit să-l închid sau să fiu invizibil pentru rețeaua exterioară?

Răspunde

Având portul 110 (POP3) deschis și disponibil este complet normal dacă intenția dvs. este să rulați un server POP. POP3 este probabil cam arhaic / învechit și s-ar putea să luați în considerare utilizarea IMAP în schimb, dar nu este nimic în neregulă fundamental cu acesta.

Nu știu ce test ați folosit, dar s-ar putea să fie semnalizat ca o problemă, deoarece STARTTLS nu este acceptat, ceea ce înseamnă că parolele vor fi trimise în format clar. Protocolul POP3 acceptă STARTTLS , dar se pare că popa3d nu ar putea. ar trebui să ia în considerare utilizarea unui server POP mai bun, cum ar fi Dovecot. Dovecot acceptă, de asemenea, specificarea adreselor IP pe care să le asculte în fișierul său de configurare, pe care popa3d, de asemenea, pare să nu le accepte, așa că poate ai vrea să folosești asta dacă vrei să accepți POP3 conexiuni numai pe WAN și nu pe LAN.

Apropo, ați listat directivele de configurare Postfix în întrebarea dvs., care nu au nicio legătură cu POP (sau IMAP).

Comentarii

  • Ei bine, este ' un server POP și, ca atare, portul 110 trebuie să fie deschis – bu Singurele mașini care ar trebui să colecteze e-mail sunt în rețeaua internă. Este rezonabil (sau posibil) să deschid portul 110 de pe interfața internă (eth0) și să îl închid pentru interfața externă (eth1 / ppp0), sau acest lucru va întrerupe capacitatea mea de a colecta e-mail la furnizorul meu '?
  • popa3d nu pare să fie suficient de configurabil pentru a permite legarea la o anumită interfață / adresă (adică eth0 și nu eth1 sau ppp0). Puteți oricând să rezolvați acest lucru cu reguli firewall, dar ' nu este nici elegant, nici bun pentru apărare în profunzime. Mai devastator, nu pare ' să accepte STARTTLS, adică parolele vor fi trimise în format clar. Din aceste două motive (în special a doua), vă recomand să utilizați un server POP mai bun, cum ar fi Dovecot. Vă va rezolva ambele probleme.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *