Opções de porta do servidor de email

Navegue suas respostas
1

Eu tenho um servidor web que também é meu servidor de e-mail - executando o dovecot e o exim4. Atualmente eu tenho 5 portas abertas que têm a ver com o serviço de correio, parece muito excessivo para mim. É uma caixa dedicada, tenho acesso root - e, o mais importante, tenho controle sobre todos que recebem e-mails da caixa - para que eu possa dizer a eles para configurar seus clientes de e-mail de qualquer maneira que eu preferir. 

25/tcp    open     smtp
110/tcp   open     pop3
143/tcp   open     imap
993/tcp   open     imaps
995/tcp   open     pop3s

Perguntas:

Qual é a maneira mais segura de enviar e-mails?

Posso fechar as portas 110 e 143, e apenas dizer a todos para definir seus clientes para receber em 993 e 995?

O e-mail servido de 993/995 é totalmente criptografado, isto é: não pode ser ignorado?

    
por bMon 28.01.2012 / 00:13

3 respostas

5

What is the most secure way to serve mail?

Poderíamos entrar em uma discussão PGP / SMIME inteira, mas sim, SSL / TLS são bons para a comunicação com o cliente.

Can I close ports 110 and 143, and just tell everyone to set their clients to receive on 993 and 995?

Sim. Eu ia melhor e apenas faço IMAP / S - POP é ruim.

Is the mail served out of 993/995 fully encrypted, ie: not able to be eavesdropped?

Bem, você poderia configurá-los para não serem criptografados nessas portas ... mas sim, esses ouvintes devem aplicar a criptografia SSL / TLS para toda a comunicação com o cliente.

Observe que esses 4 são todos para comunicação com clientes de email - a porta 25, SMTP, possui criptografia opcional que não é amplamente implementada; sua comunicação com o cliente pode estar oculta, mas é improvável que sua comunicação de revezamento seja.

    
por 28.01.2012 / 00:22
1

993 e 995 são as portas para IMAP sobre SSL e POP3 sobre SSL, respectivamente.

Na verdade, é possível usar 110 e 143 usando TLS e, portanto, criptografados. Isso é facilmente ativado no Dovecot. Na verdade, quando o Dovecot fala sobre "SSL", na verdade significa SSL e TLS, então se você tiver ssl = yes em sua configuração do Dovecot, o TLS já deve estar ativado.

Se você quiser desabilitar a autenticação em texto simples, defina ssl=required e disable_plaintext_auth=yes .

    
por 28.01.2012 / 00:24
1

Configure o dovecot para ignorar pop3 e imap em favor de pop3s e imaps e você impedirá que as pessoas consigam senhas (e conteúdo de e-mail) cheirando essas portas. Você deve estar migrando pessoas para longe do pop em qualquer caso, já que geralmente tem implementações muito tolas.

Você também deve configurar o exim para não permitir autenticação nas conexões da porta 25 (e para ouvir 465 para SMTP criptografado por SSL) e para exigir autenticação antes de permitir uma mensagem retransmitida.

    
por 28.01.2012 / 00:26

Tags

O meu servidor está no modo RAID? O que é uma boa maneira de entregar o correio pop3 para um servidor imap?