поставил такую штукенцию вдобавок к virtualmin

https://configserver.com/

Блокирует 60-90 попыток взлома SSH в день. Но вот что делать с почтовыми портами пока не нашел. Нашел только одну настройку - количество подключений в час, но закончилось тем что заблокировал себя

А то подключаются еще и по порту IMAP и подбирают пароли, ЦПУ почти 100%

Это публичный или для личного пользования?

Если для личного - я бы просто повесил на другой порт.

25 порт поменять? Это шутка что ли?

Личный сервер, личный. Провайдер гад, старые сервера обкоцал, теперь вот с новым вожусь

Это шутка что ли?

-----

??? - все лезут в 25 порт.

Ну оставь там пустой инстансе - пусть его ломают по 25 раз в день... Даже пароли можешь поставить "123456" & "пассворрд" чтобы преуспели и успокоились. Вся отправка - в нул.

На свободном порте - другой инстансе почты и там уже думать... но там желающих будет 0.1% от тех кто долбит 25 порт...

Ну оставь там пустой инстансе - пусть его ломают по 25 раз в день...

Нашел только одну настройку - количество подключений в час, но закончилось тем что заблокировал себя

Это плохо. Теоретически можно так заблокировать и всех, кто тебе почту доставляет. Лучше на 25-ом отключить message submission и перевести на 587. На 587 вести мониторинг неудавшихся попыток аутентификации.

csf с версии 6.48 имеет поддержку Postfix SMTP_AUTH вот только с примечанием "for Plesk servers". Что там Plesk по другому в postfix сделал - не знаю, и будет ли работать на virtualmin - тоже не знаю. Но в csf есть custom regex rules, которые можно подогнать под свои нужды. https://forum.configserver.com/viewtopic.php?p=29227#p2922...

А то подключаются еще и по порту IMAP и подбирают пароли, ЦПУ почти 100%

На главной странице стоит, что csf умеет с dovecot работать.

Теоретически можно так заблокировать и всех, кто тебе почту доставляет

Практически тоже

Лучше на 25-ом отключить message submission и перевести на 587

А как поставщикам почты это рассказать? Или они несколько портов пользуют?

что csf умеет с dovecot работать

умеет, но подходящих настроек не нашел

А как поставщикам почты это рассказать? Или они несколько портов пользуют?

Им ничего не надо знать. 25-й порт остается активным только для MTA без аутентификации (доставка почты для "своего" домена).

Для MSA (почтовые программы) выделяется новый порт (587). На нем и ведется мониторинг.

Если сложно, то можно все на 25-м оставить. Главное - блокировать не по количеству соединений в промежуток времени, а по неудавшимся SMTP-Auth.

Спасибки буду пробовать на выходных

Для MSA (почтовые программы) выделяется новый порт (587)

То бишь вначале нужно TLS сделать? SSL вроде получился, а с TLS пока боюсь, чтобы опять без почты не остаться.

Главное - блокировать не по количеству соединений в промежуток времени

А я как раз думал это попробовать только с большим числом чтобы себя не блокировать.

а по неудавшимся SMTP-Auth.

Чисто визуально не заметил подобной настройки. Хотя даже и не всю почту "по ошибкам" удалось перенаправить, часть отправляет rootу гад.

То бишь вначале нужно TLS сделать? SSL вроде получился, а с TLS пока боюсь, чтобы опять без почты не остаться.

SSL (v1.0, v2.0, v3.0) - устаревший протокол. Не использовать.

TLS (>= v1.2) можешь. Если хочешь, конечно. Номер порта тебя не обязывает использовать шифрованное соединение.

Чисто визуально не заметил подобной настройки.

Конфиги смотрел? Если ее нет, то custom regex rule.

SSL (v1.0, v2.0, v3.0) - устаревший протокол. Не использовать.

может я чего перепутал Я вначале сделал https, чтобы сертификат был.

Конфиги смотрел?

Не а, там всё так размазано, что неизвестно где лежит всё что они показывают на странице настроек.

Я как то раз админ-порт отключил через сопутствующую установку, так так и не нашел этого в конфигах.

как в этом случае мне будет почта приходить?

-----

Так же как в гоогле...

может я чего перепутал

Не знаю, может быть. Я имею в виду сам протокол https://ru.wikipedia.org/wiki/TLS

Я вначале сделал https, чтобы сертификат был.

Тут нарушена причинно-следственная связь. HTTPS - это HTTP over TLS/SSL https://ru.wikipedia.org/wiki/HTTPS. Для того, чтобы HTTPS работал, необходим сертификат.

Если для личного - я бы просто повесил на другой порт.

Какая разница какой порт? Все что выставляется в открытый космос доступ будет сканироваться и найдено, причем очень быстро. Не надо даже думать, что я типа только на пару минут черный вход не закрою, никто ведь не вломится за такое время.

Свой почтовый сервер это для камикадзе. Во-первых, замучиешся (правильно) конфигурировать. Во-вторых, и главное, надо заставить другие сервера в мире ему доверять. Иначе он будет в изгое и вся почта пойдет в спам или вообще будут блокировать.

Есть уже готовые контейнеры, возможно это легче, т.к. не надо с нуля начинать и легче с другими сервисами интегрировать (например, webmail если надо). Вот навскидку: https://github.com/tomav/docker-mailserver или https://github.com/Mailu/Mailu

Так же как в гоогле..

И как это в ДЕТАЛЯХ работает?

Но гоогле в качестве примера, я бы не брал. Они там гады столько понакрутили

Тут нарушена причинно-следственная связь. HTTPS - это HTTP over TLS/SSL ... Для того, чтобы HTTPS работал, необходим сертификат.

У меня цепочка был немного другой

Мне нужен TLS

Для этого нужен сертификат.

У меня есть функции копирования сертификата для поп3 и смтп.

Чтобы сертификат оказался в нужном месте нужно его запросить (при этом в случае успеха автоматом получаем https)

Если https заработал, то можно двигаться дальше.

То бишь рабочий https является "необходимым условием" для создания TLS

Какая разница какой порт?

В статистике

Свой почтовый сервер это для камикадзе.

Непонял? А какой смысл убирать интегрированное решение, мучаться с установкой докера, и после добавлять "внешнюю" почту в систему?

И как это в ДЕТАЛЯХ работает?

25-й порт должен быть доступен для MTA других доменов, иначе почтовый сервер будет работать только в одну сторону (посылать).