Port 110 synlig för omvärlden – nödvändig eller en dålig idé?

Jag gjorde precis [ett test] [1] som berättade för mig att min gateway-port (debian squeeze) port 110 syns från utsidan.

Det är en låda med två nätverkskort, eth0 är för mitt interna nätverk (192.168.1.0/24) och eth1 går till ”internet” (som ppp0).

Är en öppen port 110 på extern anslutning är det nödvändigt när jag kör postfix, använder rutan för att samla in post med fetchmail och få posten samlad av interna rutor med pop3 (popa3d)?

Är allt ok så länge som min postfix har en main.cf med rader som dessa?

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.0/24 inet_interfaces = 192.168.1.1, 127.0.0.1 

där 192.168.1.0/24 är mitt hemnätverk och 192.168.1.1 är eth0 ?

Eller var jag dum och öppnade en port som jag hellre borde ha stängt eller osynlig för det externa nätverket?

Svar

Att ha port 110 (POP3) öppen och tillgänglig är helt normalt om du tänker köra en POP-server. POP3 är kanske lite arkaisk / föråldrad och du kan överväga att använda IMAP istället, men det är inget fundamentalt fel med det.

Jag vet inte vilket test du använde, men det kan vara så att det är signalerat som ett problem eftersom STARTTLS inte stöds, vilket innebär att lösenord kommer att skickas i rensningen. POP3-protokollet stöder STARTTLS men det verkar som om popa3d kanske inte. Kanske du bör överväga att använda en bättre POP-server, som Dovecot. Dovecot stöder också att ange vilka IP-adresser som ska lyssnas på i sin konfigurationsfil, vilken popa3d också verkar inte stödja, så kanske du kanske också vill använda det om du vill acceptera POP3 anslutningar endast på WAN och inte på LAN.

Förresten listade du Postfix-konfigurationsdirektiv i din fråga, som inte har något att göra med POP (eller IMAP).

Kommentarer

  • Nåväl, det ' en POP-server, och som sådan måste port 110 vara öppen – bu de enda maskinerna som ska samla in post finns på det interna nätverket. Är det rimligt (eller möjligt) att öppna port 110 på det interna gränssnittet (eth0) och stänga det för det externa gränssnittet (eth1 / ppp0), eller kommer detta att bryta min förmåga att samla in e-post hos min leverantör ' s e-postserver?
  • popa3d verkar inte vara tillräckligt konfigurerbar för att tillåta bindning till ett specifikt gränssnitt / adress (dvs. eth0 och inte eth1 eller ppp0). Du kan alltid kringgå det med brandväggsregler, men att ' är varken elegant eller bra för djupförsvar. Mer förödande verkar det inte heller ' att stödja STARTTLS, vilket innebär att lösenord kommer att skickas i rensningen. Av dessa två skäl (särskilt den andra) rekommenderar jag att du använder en bättre POP-server, som Dovecot. Det löser båda problemen åt dig.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *