Bei der Installation von Postfix auf einem Server wird automatisch der früher für Emailversand über SMTP verwendete Port 25 geöffnet. Wer Postfix in Verbindung mit einem Smarthost verwendet, also Postfix so konfiguriert hat dass Emails über den Mailserver eines Emaildienstes wie Googlemail versendet werden, kann diesen Port bedenkenlos schließen.
Ist Postfix als Satellitensystem konfiguriert nimmt Postfix auf Port 25 keine Verbindungen an. Es handelt sich hierbei also nicht um ein offenes Relay. Botnetze und andere Schadsoftware scannt jedoch gerne Port 25 um offene Relays für den Spamversand zu finden. Wenn dieser Port geöffnet ist kann das unnötige Last auf dem Server verursachen, selbst wenn Postfix eine Verbindung ablehnt. Außerdem könnte der Rechner über eine eventuelle Sicherheitslücke in Postfix erfolgreich angegriffen werden.
Mit diesem Befehl lässt sich herausfinden welche Serverdienste von außen erreichbar sind.
sudo netstat -tulpen | grep -v 127.0.0.1
Wenn in der Ausgabe ein Eintra wie der Folgende auftaucht hat Postfix Port25 geöffnet.
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 14783 2087/master
Alternativ kann man mit Telnet testen ob ein Port geöffnet ist und Verbindungen annimmt, oder man verwendet für einen open Relay Test die Seite http://mxtoolbox.com/diagnostic.aspx
Um den Port zu schließen muss die Datei „/etc/postfix/master.cf“ im Texteditor geöffnet werden.
Dann muß die Zeile „smtp inet n – – – – smtpd“ einkommentiert werden.
Vorher:
# ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - - - - smtpd
Nachher
# ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== #smtp inet n - - - - smtpd
Dann muss Postfix neu gestartet werden.
sudo service postfix restart
Ruft man erneut
sudo netstat -tulpen | grep -v 127.0.0.1
auf, sieht man, dass der Eintrag mit Port 25 verschwunden ist.
1 Comment
Bei mir wurde der Port Port 465 von Postfix Master auch verwendet, weshalb ich auch die Zeile:
smtps inet n – – – – smtpd
zu:
#smtp inet n – – – – smtpd
geändert habe und dann den gleichen restart Befehl wie oben.