僅限製本地主機的 SMTP

我們如何限制 SMTP 服務只能在 localhost 上使用？

我們的網站使用 localhost SMTP，但我們不希望任何郵件客戶端在 SMTP 埠上使用我們的伺服器。

我們的伺服器是 Windows Server 2008 R2，使用 Mail Enabled Professional Edition V1。

謝謝。

我的建議，特別是對於 SMTP，是用盡可能多的安全層來保護自己，特別是如果你有其他人對伺服器具有管理員訪問權限，打開和關閉防火牆之類的東西……這就是我的做法：

1. 防火牆 - 確保只有 127.0.0.1 可以與伺服器上的埠 25 通信。拒絕所有其他連接。
2. 將 SMTP 服務設置為僅偵聽 127.0.0.1 上的連接。預設情況下，它配置為偵聽 0.0.0.0，這意味著任何 IP，包括公共 IP。即使防火牆發生故障或被禁用，外部客戶端也無法與您伺服器上的 SMTP 服務通信，因為它對他們來說是“聾的”。
3. 設置中繼限制，只允許本地客戶端（即 127.0.0.1）通過伺服器中繼郵件。即使上述 2 項措施以某種方式失敗，外部客戶端也只能向伺服器的本地域發送郵件。外部客戶端嘗試向外部域發送郵件（中繼訪問）將被 SMTP 伺服器拒絕。

這是有關如何實際執行步驟 2 和 3 的指南。上面的#2 顯示在指南的步驟 12 中，上面的#3 顯示在指南的步驟 13 和 15 中。

為什麼有這3層？簡短的回答：最大限度地減少安全事件和其他不良問題的風險。長答案：

1. 從安全的角度來看，盡可能鎖定事物。需要根據需要授予訪問權限 - 這是一個普遍的最佳實踐，多次拯救了我。
2. 即使具有管理員訪問權限的其他人開始在機器上進行更改（例如關閉防火牆），即使是意外/無意，您也可以更輕鬆地知道還有 2 個其他保護措施。
3. 當具有管理員訪問權限的人開始更改伺服器配置時，他們必須非常謹慎地更改防火牆設置（或禁用它）以及 SMTP 服務設置，如此短的破壞，或（希望）獲得批准，記錄更改請求，進行所有 3 項更改的機會非常渺茫。

我希望這有幫助！祝你好運，保重！

引用自：https://serverfault.com/questions/575470