Ubuntu邮件服务器防火墙规则
导读:Ubuntu 邮件服务器防火墙规则速查 一 端口与方向总览 下表列出邮件常用端口、方向、用途与加密建议,便于一次性规划防火墙策略。 端口 方向 用途 加密与说明 25/TCP 入站/出站 服务器间 SMTP 投递 建议启用...
Ubuntu 邮件服务器防火墙规则速查
一 端口与方向总览
- 下表列出邮件常用端口、方向、用途与加密建议,便于一次性规划防火墙策略。
| 端口 | 方向 | 用途 | 加密与说明 |
|---|---|---|---|
| 25/TCP | 入站/出站 | 服务器间 SMTP 投递 | 建议启用 STARTTLS;用于接收外域邮件与对外投递 |
| 587/TCP | 入站 | 客户端发信 Submission | 强制 STARTTLS;现代客户端首选端口 |
| 465/TCP | 入站 | SMTPS 发信 | 隐式 SSL/TLS;部分客户端/服务商仍在使用 |
| 143/TCP | 入站 | IMAP | 建议启用 STARTTLS |
| 993/TCP | 入站 | IMAPS | IMAP over SSL/TLS |
| 110/TCP | 入站 | POP3 | 建议启用 STARTTLS |
| 995/TCP | 入站 | POP3S | POP3 over SSL/TLS |
| 22/TCP | 入站 | SSH 管理 | 建议限制来源 IP,避免被锁 |
| 53/UDP/TCP | 出站 | DNS 查询 | 邮件域名解析依赖 DNS,需允许出站 |
- 说明:邮件服务器通常还需允许相关服务的回包流量(由状态防火墙自动处理);若使用 IPv6,请同步放行对应协议族的规则。
二 使用 UFW 的一键规则
- 基础放行(仅开放明文/STARTTLS常用端口,适合入门或受控网络)
sudo ufw allow 25/tcp sudo ufw allow 143/tcp sudo ufw allow 587/tcp sudo ufw allow 22/tcp sudo ufw allow out 53,53/udp sudo ufw enable sudo ufw status verbose - 启用加密端口(IMAPS/POP3S,推荐对外提供加密访问)
sudo ufw allow 993/tcp sudo ufw allow 995/tcp - 如需兼容旧客户端或特定场景,再开放 SMTPS
sudo ufw allow 465/tcp - 重要提示:在启用 UFW 之前务必先放行 SSH(22/TCP),否则可能被立即断开连接。完成后用
sudo ufw status verbose核对规则。
三 云厂商安全组与回程流量
- 除系统防火墙外,还需在云服务商控制台放行相同端口的入站规则(如 25/587/465/143/993/110/995),否则公网流量会被拦截。
- 建议仅对可信来源开放 25/TCP(例如仅允许自家出口/中继),并限制管理端口 22/TCP 的来源网段。
- 出站方向通常需放行 25/TCP(对外投递)、53/UDP/TCP(DNS)、以及客户端与服务器间通信所需端口,避免邮件投递与检索失败。
四 验证与排错
- 本机连通性测试
telnet mail.example.com 25 # EHLO 测试 telnet mail.example.com 143 # IMAP 测试 telnet mail.example.com 110 # POP3 测试 - 加密端口可用
openssl s_client -connect mail.example.com:993 -quiet验证 TLS 握手。 - 查看防火墙状态与规则编号
sudo ufw status verbose sudo ufw status numbered - 删除规则(按编号或按规则)
sudo ufw delete 3 sudo ufw delete allow 25/tcp - 日志与常见问题:检查 /var/log/mail.log(Postfix)与 /var/log/mail.err;若端口不通,优先核对云安全组与 UFW 是否一致放行,再检查服务是否监听对应端口(
ss -tlnp | grep -E ':(25|143|993|110|995|587|465)')。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu邮件服务器防火墙规则
本文地址: https://pptw.com/jishu/782565.html