Windows-Server-2008-R2
僅限製本地主機的 SMTP
我們如何限制 SMTP 服務只能在 localhost 上使用?
我們的網站使用 localhost SMTP,但我們不希望任何郵件客戶端在 SMTP 埠上使用我們的伺服器。
我們的伺服器是 Windows Server 2008 R2,使用 Mail Enabled Professional Edition V1。
謝謝。
我的建議,特別是對於 SMTP,是用盡可能多的安全層來保護自己,特別是如果你有其他人對伺服器具有管理員訪問權限,打開和關閉防火牆之類的東西……這就是我的做法:
- 防火牆 - 確保只有 127.0.0.1 可以與伺服器上的埠 25 通信。拒絕所有其他連接。
- 將 SMTP 服務設置為僅偵聽 127.0.0.1 上的連接。預設情況下,它配置為偵聽 0.0.0.0,這意味著任何 IP,包括公共 IP。即使防火牆發生故障或被禁用,外部客戶端也無法與您伺服器上的 SMTP 服務通信,因為它對他們來說是“聾的”。
- 設置中繼限制,只允許本地客戶端(即 127.0.0.1)通過伺服器中繼郵件。即使上述 2 項措施以某種方式失敗,外部客戶端也只能向伺服器的本地域發送郵件。外部客戶端嘗試向外部域發送郵件(中繼訪問)將被 SMTP 伺服器拒絕。
這是有關如何實際執行步驟 2 和 3 的指南。上面的#2 顯示在指南的步驟 12 中,上面的#3 顯示在指南的步驟 13 和 15 中。
為什麼有這3層?簡短的回答:最大限度地減少安全事件和其他不良問題的風險。長答案:
- 從安全的角度來看,盡可能鎖定事物。需要根據需要授予訪問權限 - 這是一個普遍的最佳實踐,多次拯救了我。
- 即使具有管理員訪問權限的其他人開始在機器上進行更改(例如關閉防火牆),即使是意外/無意,您也可以更輕鬆地知道還有 2 個其他保護措施。
- 當具有管理員訪問權限的人開始更改伺服器配置時,他們必須非常謹慎地更改防火牆設置(或禁用它)以及 SMTP 服務設置,如此短的破壞,或(希望)獲得批准,記錄更改請求,進行所有 3 項更改的機會非常渺茫。
我希望這有幫助!祝你好運,保重!