Ограничьте трафик локальной сетью и VPN с помощью ufw или iptables
Проверьте главу TLS/SSL в Спецификацию Exim. Если Вам включат TLS, то он будет использоваться на исходящих соединениях с серверами, которые рекламируют STARTTLS. TLS будет требоваться для хостов, перечисленных в hosts_require_tls опция. Это должно быть установлено в начале конфигурационного файла Exim.
Вам нужно будет работать с цепочкой INPUT таблицы фильтров с действием по умолчанию DROP, а затем установить правила ACCEPT для входящих пакетов (-i) на каждом интерфейсе. Чтобы повысить безопасность, вы также можете указать подсеть исходного хоста, но приведенных ниже правил будет достаточно.
iptables -t filter -p INPUT DROP
iptables -t filter -A INPUT -i eth0 -j ACCEPT
iptables -t filter -A INPUT -i tun0 -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
Если вы также хотите применить то же самое для трафика, покидающего хост, также сделайте следующее:
iptables -t filter -p OUTPUT DROP
iptables -t filter -A OUTPUT -o eth0 -j ACCEPT
iptables -t filter -A OUTPUT -o tun0 -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
Хотя, если вы делаете это, у вас действительно может не быть других интерфейсов. Кроме того, здесь присутствует lo , потому что это интерфейс обратной связи; без этих правил loopback больше не будет работать.
Обратите внимание, что если ваш хост является маршрутизатором, эти правила не будут применяться к трафику, который он маршрутизирует (только к трафику, который он генерирует сам или предназначен для него, а не через него).