Un second port mail grâce à iptables

La mode actuelle est de plus en plus bloquer le port 25 (notamment chez les FAI, par exemple, Orange) pour des questions de sécurité et pour essayer de limiter l’envoi de spams. Personnellement, je ne pense pas que ça va changer grand chose, hormis à forcer les clients et utilisateurs d’utiliser d’autres ports…

Le nouveau port “standard” smtp est le port 587. Pour permettre simplement la connexion à notre serveur SMTP des clients Orange par exemple, nous allons utiliser une règle grâce au puissant outil nommé iptables.

Iptables est le firewall de référence sur les systèmes UNIX. Si vous ne connaissez pas iptables, je vous invite à lire le petit article de sécurisation d’un serveur sur alsacréations.

Pour ajouter une règle à iptables, nous allons modifier le fichier /etc/init.d/iptables grâce à vi par exemple :

vi /etc/init.d/firewall

Attention: Vous devez avoir les droits administrateurs (root) pour modifier ce fichier

Nous allons donc ajouter cette règle :

iptables -t nat -A PREROUTING -p tcp -m tcp –dport 587 -j REDIRECT –to-ports 25

  • Iptables va effectuer cette règle avant que les données arrivent vers les services de notre serveur
  • Cette règle s’applique pour les paquets tcp
  • C’est une redirection du port 587 vers le port 25

C’est-à-dire qu’en fait, qu’en un packet est envoyé au serveur sur le port 587, c’est comme s’il était envoyé sur le port 25 mais la redirection se fait au niveau de l’entrée sur le serveur. Par conséquent, notre serveur SMTP est accessible via les connexions internet bridant le port 25.

Une fois cette règle ajoutée (copiez/collez la règle à la fin du fichier dans une nouvelle ligne bien entendu – le mieu est de ranger les règles par catégories (mail (smtp, pop, imap), ftp, http (http, https)…)), n’oubliez pas de redémarrer iptables :

/etc/init.d/firewall restart

Voici donc une méthode très simple pour simuler l’ajout d’un port d’écoute de votre serveur mail grâce à iptables (en plus, c’est valable pour n’importe quel système de mail !).
Information: Le port 587 est nommé dans les RFC comme le second port d’écoute d’un serveur mail et doit théoriquement être accessible sur tout serveur mail.

facebooktwittergoogle_plusredditpinterestlinkedinmail

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">