Ограничить SMTP только для локального хоста

Question

Ограничить SMTP только для локального хоста

Как мы можем ограничить использование службы SMTP только на локальном хосте?

Наши веб-сайты используют локальный SMTP, но мы не хотим, чтобы почтовые клиенты использовали наш сервер через SMTP-порт.

Наш сервер - Windows Server 2008 R2 и использует Mail Enabled Professional Edition V1.

Благодарю.

1

email windows-server-2008-r2 smtp

Источник

Jonas T 14 фев '14 в 02:37

1 ответ

Решение

Другие вопросы по тегам email windows-server-2008-r2 smtp

Rouben 16 фев '14 в 12:05 2014-02-16 12:05 · Accepted Answer · 2014-02-16 12:05

Мой совет, особенно для SMTP, состоит в том, чтобы защитить себя с максимально возможным количеством уровней безопасности, особенно если у вас есть другие люди с доступом администратора к серверу, включающие и выключающие такие функции, как брандмауэры... Вот как я это сделаю:

Межсетевой экран - убедитесь, что только 127.0.0.1 подключается к порту 25 на вашем сервере. Отклонить все остальные соединения.
Настройте службу SMTP на прослушивание только подключений на 127.0.0.1. По умолчанию он настроен на прослушивание 0.0.0.0, что означает любой IP, включая публичный. Даже если брандмауэр выходит из строя или отключается, внешние клиенты не смогут общаться со службой SMTP на вашем сервере, потому что он будет "глухим" для них.
Установите ограничение ретрансляции, позволяющее только локальным клиентам (т.е. 127.0.0.1) ретранслировать почту через сервер. Даже если каким-то образом вышеуказанные 2 меры не сработают, внешним клиентам будет разрешено отправлять почту только на локальный домен сервера. SMTP-сервер будет отклонять попытки внешних клиентов отправлять почту (ретранслировать доступ) на внешние домены.

Вот руководство о том, как на самом деле сделать шаги 2 и 3. № 2 выше показан на шаге 12 руководства, а № 3 выше показан на шагах 13 и 15 руководства.

Почему эти 3 слоя? Краткий ответ: минимизируйте риск инцидентов безопасности и других нежелательных проблем. Длинный ответ:

С точки зрения безопасности, все должно быть как можно более заблокировано. Доступ должен быть предоставлен на основе потребностей - это универсальная лучшая практика, которая много раз меня спасала.
Даже если кто-то другой с правами администратора начинает вносить изменения на компьютере (например, отключает брандмауэр), даже случайно или непреднамеренно, вы можете спать спокойно, зная, что есть еще 2 средства защиты.
Когда кто-то с правами администратора начинает вносить изменения в конфигурацию сервера, он должен быть достаточно осмотрительным при изменении как настроек брандмауэра (или его отключения), так и настроек службы SMTP, за исключением случаев саботажа или (надеюсь) утвержденного, задокументированный запрос на изменение, вероятность внесения всех трех изменений довольно мала.

Надеюсь, это поможет! Удачи и береги себя!