как защитить доступ telnet к smtp порту 25?
Iptables, насколько я знаю, является просто брандмауэром/фильтром пакетов. Это не поддерживает QoS или что-либо как этот. Это было бы лучшим для реализации на маршрутизаторе... Если поле, выполняющее IPtables, является маршрутизатором, кажется, что использование HTB могло бы быть оптимальным маршрутом (никакая предназначенная игра слов). Или установите свой маршрутизатор, чтобы сделать полные дифференцируемые сервисы.
Если Вы не ожидаете получать электронное письмо через SMTP, то можно или (a) заблокировать порт 25 на брандмауэре, или (b) настроить MTA так, чтобы он не прислушивался к входящим соединениям на порте 25. Последним выбором является во многих отношениях лучшее решение, но точно как Вы выполняете, который зависит от Вашего MTA. Похоже на выполнение Постфикса таким образом, это могло бы помочь:
Вы могли просто заблокировать порт 25 входящих. Это работало бы, если Вы только интересуетесь отправкой предупреждений к почтовым ящикам на почтовых серверах, Вы управляете.
Если Вы отправляете к почтовым ящикам на серверах, Вы не управляете затем своими аварийными электронными письмами, может быть отброшен как спам, если Вы не устанавливаете свой DNS mx/spf записи соответственно и настраиваете Ваш сервер правильно. Это может потребовать Вас к открытому порту 25 входящих. Как альтернатива Вы могли все еще заблокировать порт 25 входящих и использовать правильно настроенный почтовый сервер в качестве реле для электронных писем от сервера приложений.
Возможно, я пропускаю что-то здесь, но это мои мысли...
Короткий ответ, не, это не плохо вообще. Если Вы не открытое реле, и злонамеренный человек не знает имени пользователя и пароля к почтовому ящику, то - как почтовый сервер, как предполагается, работает. Удаление баннеров часто является театром безопасности, по моему скромному мнению.
Более длинный ответ, Настраивая брандмауэр является первым шагом к обеспечению Вашего сервера. Следующее удостоверилось бы, что это не открытое реле, что означает, что спаммер не может использовать Ваш Почтовый сервер для отправки почты из сервера без, учетная запись на сервере. Можно проверить это на Панели инструментов MX. Затем можно установить fail2ban с сервером. Это предотвратит/предупредит Вас к атакам перебором против Вашего сервера.
Также необходимо думать об установке контроля Панели инструментов Mx, это свободно и предупреждает Вас к проблемам с Вашим почтовым сервером.
Это не плохо, пока связь не была установлена от за пределами брандмауэра. От адреса происхождения Вы находитесь на частной сети, и я предполагаю, что место назначения находится в той же сети также. Если брандмауэр является установкой правильно (т.е. это находится между Интернетом и smtp сервером), Вы в порядке, поскольку это может установить исходящие связи со своим smtp средством передачи без любых входящих запросов, достигающих его.
Брандмауэр позволит (если это будет простой вид), все исходящие соединения, с принятыми ответами, но не позволяют любые входящие соединения на порте 25.