LINUX.ORG.RU
ФорумAdmin

Обязателен ли 25 порт для почтового (SMTP) сервера???

 , , ,


1

3

Всем привет!

Столкнулся с такой сиутацией Попросили сконфигурировать почтовый сервер для личного использования (тот что стоит на Synology) - как оказалось там exim

Получили IP адрес, настроили зону... но вот при тесте работы SMTP оказалось что порт 25 снаружи закрыт

т.е. делаешь проброс 26>25 отвечает, 25>25 молчит... предполагаю что-то блочится у провайдера...

Ну и, соответственно, письма то не доходят... Вопрос а можно вообще получать почту без 25-го порта? Ведь этот порт используется для работ без шифрования, а сейчас все проде уже по SSL/TLS ходит... а и 587 и 465 нормально открываются

Как вообще почтовый сервер работает? пытается на 25, потом на 587(465) какова логика?

Спасибо

Вопрос а можно вообще получать почту без 25-го порта?

Если это mx, то нельзя

Ведь этот порт используется для работ без шифрования

Не верно.

а и 587 и 465 нормально открываются

Это порты для подключения пользователей с авторизацией. На 25 порту авторизации быть не должно.

Как вообще почтовый сервер работает? пытается на 25, потом на 587(465) какова логика?

Резолвит MX запись из DNS, если успешно, пытается подключиться на 25 порт сервера, указанного в записи. Если не отрезолвил, резолвит A запись, и пытается подключиться на 25 порт туда. Ни на какие 587 и 465 MTA не подключаются.

Black_Shadow ★★★★★ ()
Последнее исправление: Black_Shadow (всего исправлений: 1)

Проси провайдера открыть 25 порт.

Black_Shadow ★★★★★ ()
Ответ на: комментарий от Black_Shadow

На 25 порту авторизации быть не должно.

Быть то оно там может (как и шифрование), но только опционально.

beastie ★★★★★ ()

Вопрос а можно вообще получать почту без 25-го порта?

Уже написали, что нет.

Единственный возможный костыль - это поднять mx fontend сервер снаружи и им уже перенаправлять почту на ваш заблоченный айпи по любому порту.

Но вообще надо настучать по голове провайдеру.

constin ★★★★ ()
Ответ на: комментарий от constin

Т.е. правильно я вас понял, что 25 порт нужен обязательно и обмен почтой идет именно через него? а остальные порты это лишь для клиентов для получения почты? и нужно стучать провайдеру, чтобы он его открыл, так?

ну и правильно я проверял telnet mail.server 25 раз отклика нет, значит это провайдер блочит (на telnet mail.server 26 все сразу окликается) Оба порта одинаково ворвардятся на 25й порт MTA

rikoilas ()
Ответ на: комментарий от rikoilas

25 для серверов. Остальные для клиентов. Для хостеров и провайдеров блочить 25 это нынче норма. Могут еще документы потребовать для разблокировки.

entefeed ☆☆☆ ()
Ответ на: комментарий от rikoilas

Т.е. правильно я вас понял, что 25 порт нужен обязательно и обмен почтой идет именно через него

Да. Через него идет обмен с другими серверами. Пароль на нем для его пользователей которые пошли в 25, а не в 587.

у и правильно я проверял telnet mail.server 25 раз отклика нет, значит это провайдер блочит

Возможно, при условии что ip выдаваемый провайдером - «прямой».

Как вообще почтовый сервер работает? пытается на 25, потом на 587(465) какова логика?

Работает так, что лучше если не знаешь - не лезть, провайдер, конечно редиска что закрыл 25, но это не от хорошей жизни, если с тебя пойдет спам, то тебя заблочит пров, а он сам влетит в SBL/RBL.

handbrake ★★★ ()
Ответ на: комментарий от entefeed

Для хостеров и провайдеров блочить 25 это нынче норма. Могут еще документы потребовать для разблокировки.

??? Страна должна знать героев. Поделись плз, кто из хостеров так делает ? Какие документы хотят ? Я знаю только одного провайдера который по умолчанию режет 25, но и то готов открыть его.

handbrake ★★★ ()
Ответ на: комментарий от handbrake

Тот же aws. Режит даже исходящий трафик. А вообще да, открытый входящий 25-й это уже почти исключение. В некоторых DC, где я бывало хостился, надо было писать объяснительную, зачем это тебе надо.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от handbrake

«Работает так, что лучше если не знаешь - не лезть, провайдер, конечно редиска что закрыл 25, но это не от хорошей жизни, если с тебя пойдет спам, то тебя заблочит пров, а он сам влетит в SBL/RBL»

тем не менее, если знаете толковую статейку, был бы признателен за ссылку...

а разве блочат в SBL/RBL не один IP? Заблочит провайдер только тот, что я арендую и все... сам же буду виноват за спам..

rikoilas ()
Ответ на: комментарий от handbrake

"?? Страна должна знать героев. Поделись плз, кто из хостеров так делает ? Какие документы хотят ? Я знаю только одного провайдера который по умолчанию режет 25, но и то готов открыть его."

В данном случае идеть борьба с onlime

У меня, кстати, Акадо блочит 53 порт, и похоже и 25й тоже, причем даже исходящие!!! (вчера не мог открыть ни один 25-порт ни на mail.ru, ни на yandex.ru, ни на google.com, ни на своем) даже начал думать что проверка работы smtp через telnet mail.server 25 уже перестала работать... :) благо модем был под рукой.. вышел через него и опа.. все оказывается работает!!!

rikoilas ()
Ответ на: комментарий от rikoilas

а разве блочат в SBL/RBL не один IP?

Ты у прова за натом и ip у тебя скорее всего динамический и выдается по dhcp. Даже если статический, через неделю ты от него откажешься и будет пров сидеть с адресом в черных списках?

Deleted ()
Ответ на: комментарий от beastie

Тот же aws. Режит даже исходящий трафик.

2018-08-20T12:41:36.237927+03:00 mx postfix/smtpd[12043]: connect from ec2-54-252-89-243.ap-southeast-2.compute.amazonaws.com[54.252.89.243]:49481
2018-08-20T12:41:37.483390+03:00 mx postfix/smtpd[12043]: 70B9F7FED6: client=ec2-54-252-89-243.ap-southeast-2.compute.amazonaws.com[54.252.89.243]:49481
2018-08-20T12:41:38.580605+03:00 mx postfix/smtpd[12043]: disconnect from ec2-54-252-89-243.ap-southeast-2.compute.amazonaws.com[54.252.89.243]:49481
2018-08-21T13:26:38.251263+03:00 mx postfix/smtpd[31269]: connect from ec2-54-245-119-146.us-west-2.compute.amazonaws.com[54.245.119.146]:47279
2018-08-21T13:26:38.970676+03:00 mx postfix/smtpd[31269]: ECD227FEDC: client=ec2-54-245-119-146.us-west-2.compute.amazonaws.com[54.245.119.146]:47279
2018-08-21T13:26:39.768959+03:00 mx postfix/smtpd[31269]: disconnect from ec2-54-245-119-146.us-west-2.compute.amazonaws.com[54.245.119.146]:47279
2018-08-23T09:47:04.872414+03:00 mx postfix/smtpd[23263]: connect from ec2-54-224-60-123.compute-1.amazonaws.com[54.224.60.123]:46458
2018-08-23T09:47:05.126910+03:00 mx postfix/smtpd[23263]: lost connection after EHLO from ec2-54-224-60-123.compute-1.amazonaws.com[54.224.60.123]:46458
2018-08-23T09:47:05.126940+03:00 mx postfix/smtpd[23263]: disconnect from ec2-54-224-60-123.compute-1.amazonaws.com[54.224.60.123]:46458

А вообще да, открытый входящий 25-й это уже почти исключение. В некоторых DC, где я бывало хостился, надо было писать объяснительную, зачем это тебе надо.

Первый раз слышу, хотелось бы знать, кто они, чтобы обходить стороной. Заявление про aws не подтвердилось, возможно там человек заказывал что-то совсем обрезанно-облачное.

handbrake ★★★ ()
Ответ на: комментарий от xmikex

по SMTP получает почту MTA... а я уже с него заберу по imap... вопрос в том, имея свой домен как организовать почтовый сервер у себя, а не на сервисе провайдера.

кстати, вопрос актуален. если порт таки не открывают, то что делать? есть какие конструкции из костылей, чтобы почтовый сервер был свой?

rikoilas ()
Ответ на: комментарий от rikoilas

В данном случае идеть борьба с onlime

onlime=ростелек, да, там что угодно может быть

Акадо блочит 53 порт, и похоже и 25й тоже,

Для юриков раньше не резали, они агрессивно ели местные сети, да, по моему опыту это тоже проблемные товарищи.

Если есть выбор, имхо, лучше мелкого местного провайдера найти.

handbrake ★★★ ()
Ответ на: комментарий от entefeed

Scaleway,

не помню, вроде не сталкивался

DO, недавно на лоре тема про

держу у них несколько MX

хетцнер была.

аналогично, но они загадошные, да

handbrake ★★★ ()
Ответ на: комментарий от handbrake

не сталкивался

Хоспаде, да 0.05 секунд в гугле:
https://community.online.net/t/your-smtp-ports-are-blocked-contact-our-suppor...
https://www.reddit.com/r/webhosting/comments/6phtjd/scaleway_requires_a_photo...

А DO вообще самые истеричные истерички что я видел и могут забанить за любой пук запах которого им не понравится.

entefeed ☆☆☆ ()
Ответ на: комментарий от rikoilas

тем не менее, если знаете толковую статейку, был бы признателен за ссылку...

все RFC со словами DNS, smtp, submission, imap, pop3 + документация на используемые mta,mda,lda

Все разрозненное, общий объем с войну и мир. Есть много howto, или полуготовых продуктов (zimbra таже), позволяют типа быстро сделать, настройки там какие-попало, итог предсказуем, или вскрывают или становишься релеем и узнаешь, что интернет перестал работать, потому что накосячил и подставился сам и прова подставил.

а разве блочат в SBL/RBL не один IP? Заблочит провайдер только тот, что я арендую и все... сам же буду виноват за спам.

1. Есть BL L2 и L3 - там подсети и хостеры/провы целиком.

2. Вот хостеру счастье-то, после тебя приду я и проверю предлагаемое мне по BL, скажу нах мне такой хостер, развернусь и уйду. Уже не говоря о том, что у других клиентов начнутся проблемы с отправкой почты/недоступностью их ресурсов - каждый со спамом/фишингом/взломанными/поддельными сайтами борется в меру своего видения прекрасного, если от хостера много грязи и он игнорит абузы, проще заблочить его всего, чем разбираться кто у него плохой, а кто нет.

3. Хостеру еще абузы прилетают, радость им их разгребать.

handbrake ★★★ ()
Ответ на: комментарий от entefeed

А DO вообще самые истеричные истерички что я видел и могут забанить за любой пук запах которого им не понравится.

Из того, что я видел, DO резали, когда действительно начинало попахивать (у меня vds'ку вскрыли по ssh из-за простого пароля, установленного на 20 минут для первичной настройки, ибо неудобно было с телефона, так что за дело, считаю), у остальных кого знаю, за наглость и лютую кривизну настроек (открытые прокси/релеи/кривые зимбры/дырявые cms)

Мои инстансы, в DO в разных юрисдикциях, скажем так, порой превышают, предложенные для них DO варианты использования, ко мне претензий не было - можно же и не пахнуть.

Про что там пишут - вы за них поручиться чтоли, готовы что они не накосячили, и что там не «я поставил зимбру, праписал DKIM как сказано у гугла, про ptr и остальное не говорте - идите нах, не хочу и не буду, пачиму ничего на работает памагите !!!111»

Заблочить любой сервис может.

Я предложил озвучить здесь хостеров/провайдеров, которые _изначально_ все режут, это может быть полезно, тем кто решил поднять личный почтарь с сайтом, дома/в офисе/в ДЦ, а тут привет.

handbrake ★★★ ()
Ответ на: комментарий от entefeed

Ну-ну

По авс я логи привел, мне по каждому нормально работающему серверу сюда логи постить ? Про акадо, ростелек, я подтвердил, т.к. тоже имел с ними дела. И я не эталон метра, чтобы по мне сверяться, вы привели свой опыт, я свой, это не личная переписка и я не имею цели убедить вас в чем-то.

Еще раз, я предложил озвучить здесь хостеров/провайдеров, которые _изначально_ все режут (в случае с авс, возможно человеку и резали, но мы не знаем что за услугу он там брал, возможно она не предусматривала, что он хотел, но это тоже полезно, если придется с ними столкнуться, надо будет внимательнее на ограничения смотреть), это может быть полезно, тем кто решил поднять личный почтарь с сайтом, дома/в офисе/в ДЦ, а тут привет.

handbrake ★★★ ()
Последнее исправление: handbrake (всего исправлений: 1)
Ответ на: комментарий от handbrake

Ты аутист? Еще раз, по ссылкам даже скриншоты есть.

вы привели свой опыт

Да, ты аутист, а весь опыт блокировочек 25 порта про который пишут люди в гугле и на лоре это только мой опыт. А если ты веришь только своему опыту могу предложить тебе регнуть новый аккаунт у озвученных выше хостеров и на самой дешевой впске поднять почтовик. Тогда может быть до тебя дойдет. Но это не точно. Все, отлетай.

entefeed ☆☆☆ ()
Ответ на: комментарий от beastie

Провайдер seven sky еще 25 наружу блочил, но можно было договориться сменой тарифа, сейчас у них какие-то изменения, может что по другому стало.

handbrake ★★★ ()
Ответ на: комментарий от handbrake

Если есть выбор, имхо, лучше мелкого местного провайдера найти.

После яровой мелких провайдеров не останется.

anonymous ()
Ответ на: комментарий от anonymous

После яровой мелких провайдеров не останется.

Вот я и предлагаю поддерживать их рублем :), пока они еще есть, тем более что они практически ничего режут и по качеству услуг часто превосходят крупняк.

handbrake ★★★ ()
Ответ на: комментарий от anto215

«ipv6 получи (на харрикейн электрик к примеру) и будет у тебя честный почтовик с 25 портом»

можно подробнее как это все будет работать в таком случае?

rikoilas ()
Ответ на: комментарий от beastie

Режут по порту, да. В рамках инструмента ipv4, как правило. Как правило, ни у кого вообще нет никаких правил для ipv6. Самый смех, да, админ сидит такой дааааавоооооольный, настроил, панимаешь, файрволл. Ага, настроил. Для ipv4. Но при этом у него на машине работает ipv6, ага. Настежь.

targitaj ★★★★★ ()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от handbrake

Работает так, что лучше если не знаешь - не лезть, провайдер, конечно редиска что закрыл 25, но это не от хорошей жизни, если с тебя пойдет спам, то тебя заблочит пров, а он сам влетит в SBL/RBL.

Какая чушь. При открытом на вход 25 влететь в блэклисты можно только если у вас открытый релей, а это надо сильно постараться.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Не, не чушь. Обычные провы реально прикрывают превентивно. Оно надо 0,0001% конечных пользователей, но при этом прикрывает возможность спамить со стороны подконтрольных адресов.

targitaj ★★★★★ ()
Ответ на: комментарий от targitaj

Не, не чушь.

Ещё один, не различающий вход и выход, читающий только первые пять слов и тут же бросающийся комментировать...

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Похоже на то, что именно ты и не разобрался. Для работы MTA нужен 25 порт для входящих соединений и именно для входящих как раз и прикрывают.

Дружище, сам по себе MTA никуда ничего не шлёт. В смысле, MTA не является иточником писем. MTA - это просто передаст. Эталонный передаст.

targitaj ★★★★★ ()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от targitaj

сам по себе MTA никуда ничего не шлёт. В смысле, MTA не является иточником писем.

Что, клиповое мышление не даёт включить логику и связать дваждыдва? Если ничего не шлёт, то и попасть в блэклисты потому оно и не может. Неужели это так правда трудно?

vodz ★★★★★ ()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

Дядь, ты как, нормально там? Письма шлёт спам-бот, который находится где-то в Сети. Чтобы отправить письмо боту нужен открытый MTA, доступный из Сети. Желательно, не завеченный в черных списках. Если MTA без авторизации - так вообще прекрасно. Так вот, чтобы бот получил доступ к MTA, требуется ВХОДЯЩЕЕ соединение к MTA на 25 порт. Которое провайдеры как раз и прикрывают.

targitaj ★★★★★ ()
Последнее исправление: targitaj (всего исправлений: 2)
Ответ на: комментарий от targitaj

Мальчик. 25 порт нужен не «для доступа...», а для получения писем, от всего мира и потому без авторизации, но можно и по tls со всеми вытекающими. Провайдеры прикрывают 25 для получения с вас денег путём навязывания услуги «подключение для почтового сервера». Ботнет надо вначале создать, а уж потом им управлять и 25 порт тут самое последнее, что можно заюзать. От почтового сервера ботнет сам из грязи не самозарождается.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Большинство ботнетов — это криво-настроенные Wordpress инстанции. Поэтому прикрывают _исходящие_ на 25-й порт. (AWS для примера)

Входящие прикрывают для защиты от криво-настроенных open relay MTA.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Большинство ботнетов — это криво-настроенные Wordpress инстанции. Поэтому прикрывают _исходящие_ на 25-й порт.
Входящие прикрывают для защиты от криво-настроенных open relay MTA.

И зачем вы мне на мои же слова это написали?

vodz ★★★★★ ()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

При открытом на вход 25 влететь в блэклисты можно только если у вас открытый релей, а это надо сильно постараться.
только если у вас открытый релей, а это надо сильно постараться
а это надо сильно постараться

Вы о чем? Надо «постараться» что бы не стать open relay. Даже здесь, на лоре, куча тем в виде «я у мамы админ, установил почтовый сервер, памагите настроить...» в результате рассмотрения которых этот почтарь является openrelay.
Похоже вы мало работали с почтарями, от тех же упомянутых выше do, aws, тоннами спам летит.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.