Как лучше всего защитить 25 порт на веб сервере?
поставил такую штукенцию вдобавок к virtualmin
Блокирует 60-90 попыток взлома SSH в день. Но вот что делать с почтовыми портами пока не нашел. Нашел только одну настройку - количество подключений в час, но закончилось тем что заблокировал себя
А то подключаются еще и по порту IMAP и подбирают пароли, ЦПУ почти 100%
Это шутка что ли?
-----
??? - все лезут в 25 порт.
Ну оставь там пустой инстансе - пусть его ломают по 25 раз в день... Даже пароли можешь поставить "123456" & "пассворрд" чтобы преуспели и успокоились. Вся отправка - в нул.
На свободном порте - другой инстансе почты и там уже думать... но там желающих будет 0.1% от тех кто долбит 25 порт...
Нашел только одну настройку - количество подключений в час, но закончилось тем что заблокировал себя
Это плохо. Теоретически можно так заблокировать и всех, кто тебе почту доставляет. Лучше на 25-ом отключить message submission и перевести на 587. На 587 вести мониторинг неудавшихся попыток аутентификации.
csf с версии 6.48 имеет поддержку Postfix SMTP_AUTH вот только с примечанием "for Plesk servers". Что там Plesk по другому в postfix сделал - не знаю, и будет ли работать на virtualmin - тоже не знаю. Но в csf есть custom regex rules, которые можно подогнать под свои нужды. https://forum.configserver.com/viewtopic.php?p=29227#p2922...
А то подключаются еще и по порту IMAP и подбирают пароли, ЦПУ почти 100%
На главной странице стоит, что csf умеет с dovecot работать.
Теоретически можно так заблокировать и всех, кто тебе почту доставляет
Практически тоже
Лучше на 25-ом отключить message submission и перевести на 587
А как поставщикам почты это рассказать? Или они несколько портов пользуют?
что csf умеет с dovecot работать
умеет, но подходящих настроек не нашел
А как поставщикам почты это рассказать? Или они несколько портов пользуют?
Им ничего не надо знать. 25-й порт остается активным только для MTA без аутентификации (доставка почты для "своего" домена).
Для MSA (почтовые программы) выделяется новый порт (587). На нем и ведется мониторинг.
Если сложно, то можно все на 25-м оставить. Главное - блокировать не по количеству соединений в промежуток времени, а по неудавшимся SMTP-Auth.
Спасибки буду пробовать на выходных
Для MSA (почтовые программы) выделяется новый порт (587)
То бишь вначале нужно TLS сделать? SSL вроде получился, а с TLS пока боюсь, чтобы опять без почты не остаться.
Главное - блокировать не по количеству соединений в промежуток времени
А я как раз думал это попробовать только с большим числом чтобы себя не блокировать.
а по неудавшимся SMTP-Auth.
Чисто визуально не заметил подобной настройки. Хотя даже и не всю почту "по ошибкам" удалось перенаправить, часть отправляет rootу гад.
То бишь вначале нужно TLS сделать? SSL вроде получился, а с TLS пока боюсь, чтобы опять без почты не остаться.
SSL (v1.0, v2.0, v3.0) - устаревший протокол. Не использовать.
TLS (>= v1.2) можешь. Если хочешь, конечно. Номер порта тебя не обязывает использовать шифрованное соединение.
Чисто визуально не заметил подобной настройки.
Конфиги смотрел? Если ее нет, то custom regex rule.
SSL (v1.0, v2.0, v3.0) - устаревший протокол. Не использовать.
может я чего перепутал Я вначале сделал https, чтобы сертификат был.
Конфиги смотрел?
Не а, там всё так размазано, что неизвестно где лежит всё что они показывают на странице настроек.
Я как то раз админ-порт отключил через сопутствующую установку, так так и не нашел этого в конфигах.
может я чего перепутал
Не знаю, может быть. Я имею в виду сам протокол https://ru.wikipedia.org/wiki/TLS
Я вначале сделал https, чтобы сертификат был.
Тут нарушена причинно-следственная связь. HTTPS - это HTTP over TLS/SSL https://ru.wikipedia.org/wiki/HTTPS. Для того, чтобы HTTPS работал, необходим сертификат.
Если для личного - я бы просто повесил на другой порт.
Какая разница какой порт? Все что выставляется в открытый космос доступ будет сканироваться и найдено, причем очень быстро. Не надо даже думать, что я типа только на пару минут черный вход не закрою, никто ведь не вломится за такое время.
Свой почтовый сервер это для камикадзе. Во-первых, замучиешся (правильно) конфигурировать. Во-вторых, и главное, надо заставить другие сервера в мире ему доверять. Иначе он будет в изгое и вся почта пойдет в спам или вообще будут блокировать.
Есть уже готовые контейнеры, возможно это легче, т.к. не надо с нуля начинать и легче с другими сервисами интегрировать (например, webmail если надо). Вот навскидку: https://github.com/tomav/docker-mailserver или https://github.com/Mailu/Mailu
Тут нарушена причинно-следственная связь. HTTPS - это HTTP over TLS/SSL ... Для того, чтобы HTTPS работал, необходим сертификат.
У меня цепочка был немного другой
Мне нужен TLS
Для этого нужен сертификат.
У меня есть функции копирования сертификата для поп3 и смтп.
Чтобы сертификат оказался в нужном месте нужно его запросить (при этом в случае успеха автоматом получаем https)
Если https заработал, то можно двигаться дальше.
То бишь рабочий https является "необходимым условием" для создания TLS