Postfix mit Smarthost: Port 25 schließen

Bei der Installation von Postfix auf einem Server wird automatisch der früher für Emailversand über SMTP verwendete Port 25 geöffnet. Wer Postfix in Verbindung mit einem Smarthost verwendet, also Postfix so konfiguriert hat dass Emails über den Mailserver eines Emaildienstes wie Googlemail versendet werden, kann diesen Port bedenkenlos schließen.

Ist Postfix als Satellitensystem konfiguriert nimmt Postfix auf Port 25 keine Verbindungen an. Es handelt sich hierbei also nicht um ein offenes Relay. Botnetze und andere Schadsoftware scannt jedoch gerne Port 25 um offene Relays für den Spamversand zu finden. Wenn dieser Port geöffnet ist kann das unnötige Last auf dem Server verursachen, selbst wenn Postfix eine Verbindung ablehnt. Außerdem könnte der Rechner über eine eventuelle Sicherheitslücke in Postfix erfolgreich angegriffen werden.

Mit diesem Befehl lässt sich herausfinden welche Serverdienste von außen erreichbar sind.

sudo netstat -tulpen | grep -v 127.0.0.1

Wenn in der Ausgabe ein Eintra wie der Folgende auftaucht hat Postfix Port25 geöffnet.

postfix_port

 tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      0          14783       2087/master

Alternativ kann man mit Telnet testen ob ein Port geöffnet ist und Verbindungen annimmt, oder man verwendet für einen open Relay Test die Seite http://mxtoolbox.com/diagnostic.aspx

Um den Port zu schließen muss die Datei „/etc/postfix/master.cf“ im Texteditor geöffnet werden.

Dann muß die Zeile „smtp inet  n – – – – smtpd“ einkommentiert werden.

Vorher:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd

Nachher

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
#smtp      inet  n       -       -       -       -       smtpd

Dann muss Postfix neu gestartet werden.

sudo service postfix restart

Ruft man erneut

sudo netstat -tulpen | grep -v 127.0.0.1

auf, sieht man, dass der Eintrag mit Port 25 verschwunden ist.


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.