概览

TCP 25端口，通常被用作SMTP（简单邮件传输协议）的默认端口，负责电子邮件的发送。百度智能云弹性公网IP默认封禁了TCP出方向25端口，以下为受限的主要原因：

1. 防止垃圾邮件发送

• 问题：开放的25端口可能被恶意用户利用，从服务器发送大量垃圾邮件。
• 影响：这不仅对邮件接收者产生干扰，还可能导致我们的服务器IP地址被列入全球垃圾邮件黑名单。一旦IP被列入黑名单，其他正常用户的邮件也可能无法顺利发送。

2. 减少网络攻击

• 问题：25端口是网络攻击的常见目标，如DDoS攻击、僵尸网络控制等。
• 影响：攻击可能会使服务器变得不稳定，对服务造成中断，并可能导致数据泄露或损坏。

3. 保障网络质量

• 问题：未受控制的邮件流量会占用大量网络带宽。
• 影响：这可能会对服务器的整体网络性能产生影响，降低其他客户的服务体验。

方案概述

您可以切换到其他邮件传输端口：

• 587端口：这是SMTP的另一个常见端口，称为"submission"端口，专为邮件客户端到邮件服务器的邮件提交而设计，大多数现代邮件服务器都支持此端口。
• 465端口：虽然在早期被定义为SMTPS（带SSL的SMTP）的端口，但已经被废弃。尽管如此，许多服务仍然支持它作为一个加密的SMTP端口。

本文以587端口为例进行配置说明。

配置步骤

修改邮件服务器配置

以Postfix为例，实现加密有以下步骤：

步骤1：确保安装了必要的加密库。在大多数Linux发行版中，这通常是通过安装openssl实现的。

步骤2：在 /etc/postfix/master.cf 中启用587端口：

submission inet n       -       y       -       -       smtpd

步骤3：设置TLS参数。在 /etc/postfix/main.cf 中：

smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/ssl/private/mailserver.key
smtpd_tls_cert_file = /etc/ssl/certs/mailserver.pem
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

其中，smtpd_tls_key_file 和 smtpd_tls_cert_file 是您的SSL证书和私钥的路径。您可以使用自签名证书或从CA获取证书。

步骤4：重启Postfix。

sudo systemctl restart postfix

邮件客户端配置

当服务器端配置完成后，客户端也需要相应地进行配置。

以Thunderbird为例：

步骤1：打开"Account Settings"。

步骤2：选择您的邮箱账号，然后点击"Outgoing Server (SMTP)"。

步骤3：选择您的SMTP服务器并点击"Edit"。

步骤4：更改端口为587，并选择"STARTTLS"作为加密方法。

步骤5：如果服务器使用的是自签名证书，第一次连接时可能会收到警告。确认该证书，并选择永久接受。

申请TCP 25端口解封

如果您必须使用弹性公网IP TCP 25端口进行对外连接，可以提交工单申请解封25端口，百度智能云将根据您提交的申请理由进行审核，审核范围为TCP 25端口仅用来连接第三方的SMTP服务器，从第三方的SMTP服务器外发邮件。

说明：

• 每个百度智能云账号仅可解封5个EIP实例。
• 如果发现您使用申请的EIP直接通过SMTP发送邮件，百度智能云有权永久性封禁TCP 25端口，并不再提供解封。

申请解封TCP 25端口的工单需包含如下信息：

• 请输入IP：填写您要申请解封25号端口的弹性公网IP地址（仅支持当前账号下所拥有的包年包月的EIP）。
• 请输入域名：填写被封禁的25号端口所连接的邮件服务器的域名。
• 发送邮件类型：填写您要申请解封25号端口连接的邮件服务器外发邮件的类型。
• 日发送邮件数量：填写您要申请解封25号端口连接的邮件服务器每天外发邮件的数量。
• 是否包含退订：填写您要申请解封25号端口连接的服务器外发邮件是否包含退订服务。
• 使用描述：填写申请解封的25号端口的用途。

相关产品

云服务器BCC、弹性公网IP、共享带宽