Port 25 für MUA sperren
Markus Gonzalez
ml at markus-gonzalez.de
Sa Sep 10 00:28:58 CEST 2016
On 09.09.2016 23:35, Jörn Bredereck wrote:
> Hallo Markus,
>
>
>
>> On 09 Sep 2016, at 16:15, Markus Gonzalez <ml at markus-gonzalez.de> wrote:
>> wie kann ich es unterbinden, das Mail User Agents wie Thunderbird,
>> Outlook und co. Mails auf Port 25 einliefern können ?
>> Diese sollen nur über 465 oder 587 einliefern dürfen.
>
> Naja, solange Port 25 für andere MTAs offen bleiben sollen, hast du da leider nur weniger Möglichkeiten:
>
> a) über Firewall-Regeln die Netze der MUAs auf Port 25 aussperren (z.B. Dialup-Lists in die Firewall einbinden)
>
> b) du könntest deine User zwingen sich mit Client-Zertifikaten zu authentifizieren und dieser Zertifikate nur auf Port 465 bzw. 587/TLS annehmen.
so sollte es auch möglich sein , die SASL-Authentifikation nur auf
diesen Ports zuzulassen.
Auf Port 25 darf sich also kein MUA amittels SASL/Dovecot
authentifizieren und ebenso ohne authentifizierung keine Mails
einliefern können.
So wäre mir das am liebsten.
> Beides bringt eine ganze Reihe von Problemen und Nachteilen mit sich. Und ehrlich gesagt sehe ich auch die Motivation dahinter nicht. Was ist so schlimm daran, wenn ein MUA seine Mails auf 25 einkippt?
>
MTA's müssen ohne SSL/TLS Mails einliefern können, dies passiert in
aller Regel auf Port 25.
Würde ich hier TLS/SSL bzw. STARTTLS - so wie ich es mir von den MUA's
wünsche - erzwingen, wäre das vermutlich ebenso bindend für MTA's, oder ??
Deswegen sollten MUA's nur die Ports 465 od. 587 verwenden können, damit
ich genau das erzwingen kann.
Ich sehe das derzeit einfach als Sicherheitsrisiko, da ich in meinen
Logs sehr häufig Loginversuche mit SASL sehe, die da nicht hingehören.
>
> Viele Grüße,
> Jörn Bredereck
>
> --
>
> ******************************
> B&W-NetworX GmbH & Co. KG
> Landstr. 67a
> 76547 Sinzheim
> Fon: 07221 996388-8
> Fax: 07221 996388-1
> http://www.bw-networx.net
> info at bw-networx.net
> -----------------------------
> AG Mannheim HRA 521208
> Pers. haf. Ges.:
> B&W-NetworX Verwaltungs-GmbH
> Sitz: 76532 Baden-Baden
> AG Mannheim HRB Nr.: 202122
> Geschäftsführer:
> Jörn Bredereck
> Dipl. Ing. Holger Wunsch
> ******************************
>
>
Mehr Informationen über die Mailingliste postfix-users