对于我的商家帐户,他们使用Trustwave在我的网站上进行PCI扫描,但由于我打开了#25端口,因此我一直在失败。现在,如果我关闭此端口,我会通过Trustwave PCI扫描,但之后我无法接收任何人的任何电子邮件;这不好!所以我必须以这种方式打开端口25,这样我仍然可以收到电子邮件。
我一直认为端口#25/465/587(SMTP)用于发送电子邮件;为什么当我阻止#25端口时我不能再接收电子邮件了?我以为我通过端口#143/999(IMAP)或端口#110/995(POP3)收到传入的电子邮件?
我的服务器目前正在运行Plesk,CentOS,Postfix。
有没有办法我可以改变这个,所以不通过端口#25接收电子邮件这样我可以再次阻止此端口#并通过我的Trustwave PCI扫描?
政策违规 端口:tcp / 25
显示在此端口上运行的服务 利用明文(未加密)的通信渠道。该 PCI DSS禁止使用此类不安全的服务/协议。 未加密的通信信道易受披露 和/或修改通过它们传输的任何数据(包括 用户名和密码),因此保密和完整 在任何程度的确定性下都无法确保传输中的数据。
CVSSv2:AV:A / AC:H / Au:N / C:C / I:C / A:N 服务:后缀:后缀
证据: 详细信息:在TLS之前允许未加密的身份验证 谈判
允许使用明文方法:LOGIN,PLAIN
修复: 过渡到使用更安全的替代品,如SSH而不是 Telnet和SFTP支持FTP,或者考虑包装不太安全 利用这些优势,在更安全的技术中提供服务 例如,VPN,SSL / TLS或IPSec提供的。此外,限制访问 管理协议/服务到特定IP地址(通常 通过"白名单")尽可能完成。
我测试了我的SMTP服务器,这是我收到的结果:
SMTP - >来自服务器:
220 sever.ovh.net ESMTP Postfix
SMTP - >来自服务器:
250-server.ovh.net
250-PIPELINING
250-SIZE 10240000
250 ETRN
250-STARTTLS
250-AUTH DIGEST-MD5 LOGIN PLAIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM:info@domain.com
SMTP - >从服务器:250 2.1.0好的RCPT TO:
jsmith@gmail.com SMTP - >来自服务器:
554 5.7.1:拒绝接力访问
SMTP - >错误:服务器不接受RCPT:554 5.7.1:拒绝中继访问
谢谢!
答案 0 :(得分:4)
端口25是标准的服务器到服务器邮件端口。这是服务器在开放互联网上相互传递邮件的方式。没有办法改变这一点。
其他人,465和587是最终用户客户端发送邮件的提交端口,然后将其传输到端口25上的其他服务器。
POP3和IMAP端口供最终用户检索邮件。
Re:您的合规报告:使用STARTTLS命令在TLS建立之后才会出现250-AUTH DIGEST-MD5 LOGIN PLAIN CRAM-MD5。在那之前,它不应该存在。
答案 1 :(得分:0)
将Postfix配置为不接受明文登录。
重复https://serverfault.com/questions/389037/disable-smtp-auth-on-port-25。