Witam,
Mam pytanie czysto techniczne. Sytuacja wygląda tak, że mam sobie serwer poczty (postfix). Serwer jest za routerem, router ma przekierowane odpowiednie porty. Na serwerze jest webowy klient poczty (roundcube), który łączy się po localhoscie z serwerem poczty.
I teraz, na routerze chcę całkowicie zablokować możliwość łączenia się z moim serwerem poczty z zewnątrz - chodzi o to, żeby nikt nie mógł połączyć się z serwerem smtp i próbować wysyłać spamu. Podobnie imap/pop3 - połączenie dowolnym klientem pocztowym z zewnątrz powinno być niemożliwe - po prostu port ma być zamknięty. Jedyną możliwością na wysyłanie/odbieranie maili powinien być interfejs webowy, nie zalezy mi na możlwości łączenia za pomocą klienta poczty.
Ale nie mogę zablokować wszystkich portów smtp/pop3/imap, bo inne serwery muszą "gadać" z moim chociażby po to żeby mi dostarczyć pocztę. JAk więc skonfigurować router żeby móc odbierać/wysyłać pocztę z klienta webowego (działającego na tym samym serwerze co poczta) i jednocześnie zablokować możlwość łączenia się klientom z zewnątrz?
Postfix - które porty pozostawi
Ja bym puścił tylko port 25 (na tym porcie "gadają" serwery pocztowe). Reszta jest Ci niepotrzebna, gdyż jak już wspomniałeś nie będziesz korzystał z klientów pocztowych z zewnątrz.
Odbierasz pocztę przez www, więc odblokowałbym port 443 (webmail skonfiguruj, aby pracował po https).
Możesz też zablokować połączenia wychodzące z sieci wewnętrznej na portach 25 (oprócz oczywiście adresu serwera pocztowego), 587, 465. Użytkownicy wewnątrz nie będą mieli możliwości skonfigurowania sobie klientów pocztowych na skrzynki prywatne, ale też będziesz mieć pewność że nie będą rozsyłać spamu jakieś robale poprzez ich komputery.
Odbierasz pocztę przez www, więc odblokowałbym port 443 (webmail skonfiguruj, aby pracował po https).
Możesz też zablokować połączenia wychodzące z sieci wewnętrznej na portach 25 (oprócz oczywiście adresu serwera pocztowego), 587, 465. Użytkownicy wewnątrz nie będą mieli możliwości skonfigurowania sobie klientów pocztowych na skrzynki prywatne, ale też będziesz mieć pewność że nie będą rozsyłać spamu jakieś robale poprzez ich komputery.
Pop3 i imap służą do pobierania poczty. wysyłanie do serwera odbywa się poprzez smtp/smtps.
Skoro nikt Ci się nie połączy z serwerem smtp to nikt też nie będzie mogł wysłać poczty na konta twoich użytkowników.
Więc, jeśli to zrobisz to możesz już tego serwera smtp w ogóle nie uruchamiać bo na jedno wyjdzie. Musisz wymyślić inne metody blokowania niechcianej poczty. A każdy serwer smtp ma takie mechanizmy. Trzeba je tylko zaimplementować.
Skoro nikt Ci się nie połączy z serwerem smtp to nikt też nie będzie mogł wysłać poczty na konta twoich użytkowników.
Więc, jeśli to zrobisz to możesz już tego serwera smtp w ogóle nie uruchamiać bo na jedno wyjdzie. Musisz wymyślić inne metody blokowania niechcianej poczty. A każdy serwer smtp ma takie mechanizmy. Trzeba je tylko zaimplementować.
Jako, że roundcube będzie robić za imap czy pop. To ustaw sobie tegoż roundcube aby wysyłkę robił po porcie 587. Na serwerze poczty odblokuj tylko port 25. A w ustawieniach postfixa zablokuj klientom na korzystanie z portu 25 (zrób tylko ssl albo submission).
Aj oczywiście jeszcze musisz zezwolić na zapytania DNS.
Aj oczywiście jeszcze musisz zezwolić na zapytania DNS.
Trochę się pogubiłem w waszych odpowiedziach. Więc, ogólnie założenia są takie:
- na razie nie ma https,
- postfix i roundcube na tej samej maszynie,
- postfix/dovecot do wysyłania i odbierania, pop3/imap na domyślnych portach,
- brak obsługi łączenia się klientem pocztowym z moim serwerem z zewnątrz, wysyłanie/odbieranie tylko przez webmaila.
Tak jak już powiedziałem w pierwszym poście:
Jeśli ma postfixa i dovecota na tej samej maszynie i roundcube to:
Na firewallu puszczasz cały ruch na localhost ( zwykle się tak robi).
Puść tylko port 25 (na tym porcie "gadają" serwery pocztowe). Reszta jest Ci niepotrzebna, gdyż jak już wspomniałeś nie będziesz korzystał z klientów pocztowych z zewnątrz.
Odbierasz pocztę przez www, więc odblokowałbym port 443,80 (webmail skonfiguruj, aby pracował po https - zalecane). Osobiście zostawiłbym ruch wyłącznie po https.
Otwórz też ruch wychodzący na port 53 - Zapytania DNS
Zablokuj z zewnątrz porty 587,465 bo nie są Ci one do niczego potrzebne (wszystko działa w twoim przypadku po localhost).
Możesz też zablokować połączenia wychodzące z sieci wewnętrznej na portach 25 (oprócz oczywiście adresu serwera pocztowego), 587, 465. Użytkownicy wewnątrz nie będą mieli możliwości skonfigurowania sobie klientów pocztowych na skrzynki prywatne, ale też będziesz mieć pewność że nie będą rozsyłać spamu jakieś robale poprzez ich komputery.
Co się tyczy portów: 110 143 993 995 też bym zablokował z zewnątrz dla świętego spokoju.
Jeśli ma postfixa i dovecota na tej samej maszynie i roundcube to:
Na firewallu puszczasz cały ruch na localhost ( zwykle się tak robi).
Puść tylko port 25 (na tym porcie "gadają" serwery pocztowe). Reszta jest Ci niepotrzebna, gdyż jak już wspomniałeś nie będziesz korzystał z klientów pocztowych z zewnątrz.
Odbierasz pocztę przez www, więc odblokowałbym port 443,80 (webmail skonfiguruj, aby pracował po https - zalecane). Osobiście zostawiłbym ruch wyłącznie po https.
Otwórz też ruch wychodzący na port 53 - Zapytania DNS
Zablokuj z zewnątrz porty 587,465 bo nie są Ci one do niczego potrzebne (wszystko działa w twoim przypadku po localhost).
Możesz też zablokować połączenia wychodzące z sieci wewnętrznej na portach 25 (oprócz oczywiście adresu serwera pocztowego), 587, 465. Użytkownicy wewnątrz nie będą mieli możliwości skonfigurowania sobie klientów pocztowych na skrzynki prywatne, ale też będziesz mieć pewność że nie będą rozsyłać spamu jakieś robale poprzez ich komputery.
Co się tyczy portów: 110 143 993 995 też bym zablokował z zewnątrz dla świętego spokoju.
pawkrol - jeszcze wyedytuj swojego posta o zapytania DNS i będzie komplet.
Taki "se" ten komplet w gruncie rzeczy, bo na ten przykład warto by korzystać z aktualizacji spamaassasina, amavisa, clamav, rbli i innych dobrodziejstw do mordowania buractwa.
A to niekoniecznie musi chodzić po standardowych portach. Man twoim przyjacielem.
A w ogóle to wszystkie nasze odpowiedzi są bez sensu.
Giaur - myślę że dam Ci najlepszą radę - zablokuj wszystkie porty. Patrz w logi. Użyj tcpdump a przede wszystkim mózgu.
Będziesz miał na tacy podane co otworzyć po kolei aby działać zaczęło.
Taki "se" ten komplet w gruncie rzeczy, bo na ten przykład warto by korzystać z aktualizacji spamaassasina, amavisa, clamav, rbli i innych dobrodziejstw do mordowania buractwa.
A to niekoniecznie musi chodzić po standardowych portach. Man twoim przyjacielem.
A w ogóle to wszystkie nasze odpowiedzi są bez sensu.
Giaur - myślę że dam Ci najlepszą radę - zablokuj wszystkie porty. Patrz w logi. Użyj tcpdump a przede wszystkim mózgu.
Będziesz miał na tacy podane co otworzyć po kolei aby działać zaczęło.