none
Zabezpečení serveru proti spamu

    Dotaz

  • Rozhodl jsem se zabezpečit server, aby nebyl na blacklistu tak, že zablokuji pro klientské stanice, které nepotřebují SMTP odchozí TCP/UDP port 25. To by mělo zamezit případným zavirovaným stanicím rozesílat spam. Je to dobrá volba?

    Mám pravidlo nastavit na firewallu na serveru nebo na routeru?
    Jedná se o stanice na druhé síti, přičemž router provádí NAT.
    1. února 2010 20:05

Odpovědi

Všechny reakce

  • Je to bezna volba.

    Doporucuji na routeru.

    MP
    1. února 2010 20:13
    Moderátor
  • Pokoušel jsem se nastavení přidat do routeru, ale dané IP adresy to nezná, protože ta druhá síť je připojena do serveru. Budu muset tedy tyto pravidla přidat do firewallu ve Windows?
    Chtěl jsem to třeba zablokovat pro všechny a povolit jen pro server, ale problém je, že odchozí připojení stanic putuje jen přes server, takže to také není možné.

    Jak by se to na Windowsu nastavovalo? Nenašel jsem tam odpovídající nastavení - vždy to chce např. i místní adresy, jinak se to asi blokuje na všech.

    Dalším řešením je změnit port serveru pro odesílání pošty - kde to nastavit?

    Lze případně otestovat, zda je na dané stanici port otevřený?
    • Navržen jako odpověď JosKol 2. února 2010 21:21
    2. února 2010 16:49
  • Podařilo se mi najít návod na změnu odchozího portu v Exchange 2010:
    Set-SendConnector "Your SMTP Send Connector" -Port 30

    Poté již mohu zablokovat odchozí komunikaci na portu 25 pro všechny.

    Říkám to správně?

    2. února 2010 18:26
  • odchozi komunikace se NORMALNE neblokuje dle odchoziho portu (portu odesilatele) ktery je v naproste vetsine dynamicky ale ciloveho portu.

    MP
    2. února 2010 18:55
    Moderátor
  • V tom máte opět pravdu.

    A navrhujete raději pravidlo ve Windows firewall nebo změnit odchozí port SMTP v Exchange serveru a zablokování portu 25 všem?
    2. února 2010 18:59
  • Na HLAVNIM firewallu (mezi svetem a hranici firmy, tzn nejake to Cisco) zadam kriticka a obecna pravidla: tzn. ze zvenci nejsou pristupne vnitrni adresy na portech 135-9,445 atd. Ze ven na port 25 smeji jen mailservery. Ze ven obecne smeji jen pocitace z urciteho rozsahu (ostatni mohou pres proxy nebo vubec) atd

    MP
    2. února 2010 19:04
    Moderátor
  • Pro příchozí filtrace existuje a je to bez problému. Jsou povolené jen 80, 443, 25 a ICMP. Příchozí port 3389 jen pro určité IP adresy.
    Pokud jsem dobře pochopil, zablokovat odchozí port 25 všem a povolit ho jen komunikaci mail serveru.
    2. února 2010 19:08