Regra de firewall para permitir que o Postfix envie email por SMTP na porta 25

3

Como sugerido em Como você detecta um spambot no seu rede? como posso configurar a regra de firewall para permitir que somente a Postifx envie e-mails usando o SMTP na porta 25 e desabilite todos os outros aplicativos a serem enviados na porta 25?

Eu quero controlar o servidor de e-mail de uma única máquina.

Algo relacionado está sendo falado aqui , mas não tenho certeza das regras do Iptables.

    
por user5858 02.12.2015 / 12:21

2 respostas

4

Faça duas coisas:

  1. Execute o Postfix em sua própria conta de usuário. deve já estar fazendo isso, em qualquer sistema sã.

  2. Defina uma regra iptables com uma correspondência de uid para essa conta, que bloqueia o tráfego de saída para a porta de destino 25 e não daquele usuário.

    Por exemplo: Aqui, assumimos que o nome de usuário é postfix , embora possa ser algo diferente em seu sistema.

    iptables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT --reject-with icmp-admin-prohibited
    ip6tables -I OUTPUT -m owner ! --uid-owner postfix -m tcp -p tcp --dport 25 -j REJECT --reject-with icmp6-adm-prohibited
    

    Observe que, quando você salva a regra, o nome do usuário é convertido em um arquivo numérico.

por 02.12.2015 / 12:23
0

@ A resposta de MichaelHampton é excelente se você está apenas tentando regular o comportamento de um único sistema linux. O título da sua página de falha de servidor vinculada refere-se a uma rede. Não está claro no seu post se isso faz parte do que você precisa fazer.

Você poderia abordar isso limitando o envio para a porta 25 fora de sua rede, de modo que seja acessível somente por um único IP nessa rede. Esse IP pode estar associado a um sistema bloqueado (possivelmente virtual ou em contêiner), que somente executa o retransmissor de e-mail. Se, por outro lado, você tiver processos não confiáveis que podem enviar a partir desse IP, volte para a resposta de @ MichaelHampton sobre como bloquear isso.

    
por 02.12.2015 / 12:48