【问题标题】:How can I change port # 25 from receiving incoming emails in postfix?如何更改端口#25 以接收 postfix 中的传入电子邮件?
【发布时间】:2015-05-14 19:09:20
【问题描述】:

对于我的商家帐户,他们使用 Trustwave 在我的网站上进行 PCI 扫描,但我一直失败,因为我打开了 25 端口。现在,如果我关闭此端口,我会通过 Trustwave PCI 扫描,但我无法收到任何人的任何电子邮件;这不好!所以我必须打开端口 25 备份,这样我仍然可以接收电子邮件。

我一直以为端口#25/465/587(SMTP)是用来发送邮件的;为什么当我阻止端口 #25 时,我再也收不到电子邮件了?我以为我是通过端口 #143/993 (IMAP) 或端口 #110/995 (POP3) 接收传入的电子邮件?

我的服务器目前正在运行 Plesk、CentOS、Postfix。

有没有办法可以更改此设置,以便不通过端口 #25 接收电子邮件,这样我可以再次阻止此端口 # 并通过我的 Trustwave PCI 扫描?

违反政策 端口:tcp/25

出现在此端口上运行的服务 使用明文(未加密)通信通道。这 PCI DSS 禁止使用此类不安全的服务/协议。 未加密的通信渠道容易受到泄露 和/或修改通过它们传输的任何数据(包括 用户名和密码),因此保密和完整性 无法以任何程度的确定性确保传输中的数据。

CVSSv2:AV:A/AC:H/Au:N/C:C/I:C/A:N 服务:postfix:postfix

证据: 详细信息:在 TLS 之前允许未加密的身份验证 协商

允许明文方法:LOGIN,PLAIN

补救措施: 过渡到使用更安全的替代方案,例如 SSH,而不是 Telnet 和 SFTP 支持 FTP,或考虑包装不太安全 通过利用优势,在更安全的技术中提供服务 例如,由 VPN、SSL/TLS 或 IPSec 提供。另外,限制访问 管理协议/服务到特定的 IP 地址(通常 尽可能通过“白名单”完成)。

我测试了我的 SMTP 服务器,这是我收到的结果:

SMTP -> 从服务器:

220 sever.ovh.net ESMTP 后缀

SMTP -> 从服务器:

250-server.ovh.net

250-流水线

250 尺寸 10240000

250-ETRN

250-STARTTLS

250-AUTH DIGEST-MD5 LOGIN PLAIN CRAM-MD5

250-增强状态代码

250-8BITMIME

250 DSN

发件人:info@domain.com

SMTP -> 从服务器:250 2.1.0 Ok RCPT 到:

jsmith@gmail.com SMTP -> 来自服务器:

554 5.7.1:中继访问被拒绝

SMTP -> 错误:服务器不接受 RCPT:554 5.7.1:中继访问被拒绝

谢谢!

【问题讨论】:

  • 无法在 25 以外的端口上接收电子邮件。有关详细信息,请参阅this question
  • 您好,感谢您的链接!我仍然无法在端口 25 上接收电子邮件。我认为端口 25 仅用于从我的服务器发送电子邮件。当我尝试在 Google 上搜索一篇关于“在端口 25 上接收电子邮件”的文章时,我什么也没找到。所有页面都只讨论在端口 25 上发送电子邮件。你知道我可以查看的一个链接,其中讨论了如何使用端口 25 接收电子邮件吗?
  • 当一个邮件服务器向另一个邮件服务器发送邮件时,他们使用接收者的 25 端口。如果您的服务器向某人发送邮件,它使用该服务器的端口 25,当其他人向您的服务器发送邮件时,它使用您的端口25. 如果你想改变它,你必须与任何希望使用 25 端口的人交谈。

标签: email smtp imap postfix-mta pop3


【解决方案1】:

端口 25 是标准的服务器到服务器邮件端口。它是服务器在开放互联网上相互传输邮件的方式。没有办法改变这一点。

其他的 465 和 587 是最终用户客户端发送邮件的提交端口,然后将在端口 25 上传输到其他服务器。

POP3 和 IMAP 端口供最终用户检索邮件。

回复:您的合规性报告:250-AUTH DIGEST-MD5 LOGIN PLAIN CRAM-MD5 应在使用 STARTTLS 命令建立 TLS 之前出现。在那之前,它不应该在那里。

【讨论】:

  • 好的,谢谢你的解释,这对我来说更有意义!
  • 请参阅我在 Trustwave 报告中收到的上面添加的块引用。我只是不知道如何解决这个问题;如果我关闭端口 #25,我将不会收到任何电子邮件。如果我将端口#25 保持打开状态,Trustwave PCI 扫描将失败。有什么想法可以解决这个问题吗?
  • 如果您在端口 25 上接受身份验证,则应在进行身份验证之前要求 STARTTLS。这应该可以在您的服务器中进行配置。
  • 好的,谢谢...您认为这样做会解决 在 TLS 协商之前允许未加密的身份验证失败吗?我一直收到来自 Trustwave PCI 扫描的信息?
  • 好的,你...我会让我的服务器管理员看到这个,看看他是否能够解决这个问题。
【解决方案2】:

将 Postfix 配置为不接受明文登录。

https://serverfault.com/questions/389037/disable-smtp-auth-on-port-25 的重复。

【讨论】:

    猜你喜欢
    • 2013-02-20
    • 1970-01-01
    • 2022-01-25
    • 2014-12-14
    • 2011-07-15
    • 2017-07-11
    • 2018-01-24
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多