2.3  Nastavení firewallu

Kerio MailServer je obvykle nainstalován v lokální síti chráněné firewallem. Kromě vlastní konfigurace poštovního serveru tedy musíme provést doplňující nastavení firewallu.

Má-li být poštovní server přístupný z Internetu, je třeba ve firewallu otevřít (tzv. mapovat) některé porty. Každý mapovaný port znamená potenciální problém se zabezpečením. Namapujeme tedy porty jen pro služby, které chceme zpřístupnit z Internetu.

Pokud bude server doručovat poštu přímo přes DNS MX záznamy, potom je třeba namapovat port 25, což je standardní port pro službu SMTP. Toto nastavení je potřebné vždy, když je na server nasměrován MX záznam pro danou doménu. Na port SMTP serveru se může legálně připojit libovolný SMTP server v Internetu, chce-li odeslat e-mail do některé z jeho domén.

Dále bude třeba namapovat porty, na které se budou připojovat uživatelé mimo lokální síť. Protože se zde zvyšuje bezpečnostní riziko, doporučujeme mapovat pouze služby zabezpečené SSL/TLS šifrováním. Nastavení znázorňuje tabulka 2.1  Služby, které je třeba povolit na firewallu.

Služba (standardní port) Odchozí spojení Příchozí spojení
SMTP (25) povolit povolit
SMTPS (465) povolit povolit
POP3 (110) povolit zakázat
POP3S (995) povolit povolit
IMAP (143) povolit zakázat
IMAPS (993) povolit povolit
NNTP (119) povolit zakázat
NNTPS (563) povolit povolit
LDAP (389) povolit zakázat
LDAPS (636) povolit povolit
HTTP (80) povolit zakázat
HTTPS (443) povolit povolit

Tabulka 2.1. Služby, které je třeba povolit na firewallu