Разрешить только Postfix отправлять почту через порт 25 - путаница правил iptables
Монго поддерживает только очень простую безопасность:
- конфигурирование аутентификации. Создайте пользователя с сильным паролем (одно имя пользователя и пароль в контексте базы данных)
- свяжите MongoDB с 127.0.0.0 (петлевой интерфейс)
- измените порт по умолчанию
Я думаю, потому что Вам нужно ВХОДНОЕ правило для Вашего почтового трафика. Это также работает на постфикс GitLab.
iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sport 25,110,143 -m state --state NEW,ESTABLISHED -j ACCEPT
Вам, возможно, понадобятся другие исходящие правила, но я нашел, что почтовые серверы, кажется, проверяют с помощью ping-запросов назад к серверу при отсылке на порте 25.
Вы не должны использовать многополюсник, его просто там для примера. Если бы Вы хотели только 25 на том правиле, то оно было бы похоже на это:
iptables -A INPUT -p tcp --sport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
Похоже, вы доставляете исходящую почту через smtp-клиент, который работает с unpriv = n , который является языком postfix master.cf для , эта служба запускается как root .
Опубликованные вами конфигурации не доказывают этого, но я предполагаю, что именно это настроена ваша транспортная карта.
name type private unpriv chroot wakeup maxproc command
plesk-.. unix - n n - - smtp -o ..
Что вам нужно сделать: внимательно проверьте, кто и почему добавил эту строку (имя plesk выглядит как подсказка), какая часть службы действительно нуждается в привилегиях root, а затем отделяет эти задачи от клиента smtp. Практическое правило: Доставка писем обычно не является задачей, требующей особых привилегий. Запуск клиента smtp от имени пользователя root обычно безумие.
Возможно, привилегии root для вашего клиента smtp совершенно не нужны, и вы можете просто изменить службу с unpriv = n на unpriv = y .
Я настоятельно рекомендую, избавившись от Plesk, начать с нового набора конфигураций из вашего любимого дистрибутива и добавлять только те модификации, которые вам нужны. Plesk печально известен тем, что вносит изменения в конфигурации, которые нелегко защитить и поддерживать за пределами plesk. Если это вообще возможно, вы должны написать свои собственные, а не копировать настройки plesk.
Правила:
iptables -A OUTPUT -m owner --gid-owner postfix -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner root -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
разрешает отправлять электронные письма только пользователям postfix и root. Если у кого-то есть root-доступ, игра окончена. И мы не запускаем службы от имени root, верно?