Restringir SMTP somente para host local

1

Como podemos restringir o serviço SMTP para ser usado apenas no host local?

Nossos sites estão usando SMTP localhost, mas não queremos que nenhum cliente de e-mail use nosso servidor na porta SMTP.

Nosso servidor é o Windows Server 2008 R2 e usa o Mail Enabled Professional Edition V1.

Obrigado.

    
por Jonas T 13.02.2014 / 23:37

1 resposta

1
Meu conselho, especialmente para o SMTP, é proteger-se com tantas camadas de segurança quanto possível, especialmente se você tiver outras pessoas com acesso de administrador ao servidor, ativando e desativando coisas como firewalls ... Veja como eu d fazer isso:

  1. Firewall - certifique-se de que apenas 127.0.0.1 consiga falar com a porta 25 em seu servidor. Rejeite todas as outras conexões.
  2. Configure o serviço SMTP para escutar apenas as conexões no 127.0.0.1. Por padrão, ele está configurado para escutar em 0.0.0.0, o que significa qualquer IP, incluindo o público. Mesmo que o firewall falhe ou seja desativado, os clientes externos não poderão falar com o serviço SMTP em seu servidor, porque ele será "surdo" para eles.
  3. Configurar uma restrição de retransmissão, permitindo que apenas clientes locais (por exemplo, 127.0.0.1) retransmitam mensagens pelo servidor. Mesmo que, de alguma forma, as duas medidas acima falhem, os clientes externos só poderão enviar e-mails para o domínio local do servidor. Tentativas de clientes externos de enviar e-mails (relay access) para domínios externos serão negadas pelo servidor SMTP.

Veja um guia sobre como na verdade, siga as etapas 2 e 3 . # 2 acima é mostrado no passo 12 do guia, e # 3 acima é mostrado nos passos 13 e 15 do guia.

Por que essas três camadas? Resposta curta: minimize o risco de incidentes de segurança e outros problemas indesejáveis. Resposta longa:

  1. Do ponto de vista da segurança, mantenha as coisas o mais bloqueadas possível. O acesso precisa ser concedido em uma necessidade de ter base - esta é uma prática recomendada universal que me salvou muitas vezes.
  2. Mesmo que outra pessoa com acesso de administrador comece a fazer alterações na máquina (por exemplo, desativar o firewall), mesmo acidentalmente / acidentalmente, você poderá dormir mais facilmente, sabendo que existem outras duas salvaguardas.
  3. Quando alguém com acesso de administrador começa a fazer alterações na configuração do servidor, ele deve ser bastante deliberado para alterar as configurações do firewall (ou desativá-lo), bem como as configurações do serviço SMTP, sem sabotagem ou (espero) uma solicitação de alteração aprovada e documentada, a chance de fazer todas as três alterações é muito pequena.

Espero que isso ajude! Boa sorte e tome cuidado!

    
por 16.02.2014 / 09:05