Ubuntu邮件服务器防火墙规则

Ubuntu 邮件服务器防火墙规则速查

一端口与方向总览

下表列出邮件常用端口、方向、用途与加密建议，便于一次性规划防火墙策略。

端口	方向	用途	加密与说明
25/TCP	入站/出站	服务器间 SMTP 投递	建议启用 STARTTLS；用于接收外域邮件与对外投递
587/TCP	入站	客户端发信 Submission	强制 STARTTLS；现代客户端首选端口
465/TCP	入站	SMTPS 发信	隐式 SSL/TLS；部分客户端/服务商仍在使用
143/TCP	入站	IMAP	建议启用 STARTTLS
993/TCP	入站	IMAPS	IMAP over SSL/TLS
110/TCP	入站	POP3	建议启用 STARTTLS
995/TCP	入站	POP3S	POP3 over SSL/TLS
22/TCP	入站	SSH 管理	建议限制来源 IP，避免被锁
53/UDP/TCP	出站	DNS 查询	邮件域名解析依赖 DNS，需允许出站

说明：邮件服务器通常还需允许相关服务的回包流量（由状态防火墙自动处理）；若使用 IPv6，请同步放行对应协议族的规则。

二使用 UFW 的一键规则

基础放行（仅开放明文/STARTTLS常用端口，适合入门或受控网络）

sudo ufw allow 25/tcp
sudo ufw allow 143/tcp
sudo ufw allow 587/tcp
sudo ufw allow 22/tcp
sudo ufw allow out 53,53/udp
sudo ufw enable
sudo ufw status verbose

启用加密端口（IMAPS/POP3S，推荐对外提供加密访问）
```
sudo ufw allow 993/tcp
sudo ufw allow 995/tcp
```
如需兼容旧客户端或特定场景，再开放 SMTPS
```
sudo ufw allow 465/tcp
```
重要提示：在启用 UFW 之前务必先放行 SSH(22/TCP)，否则可能被立即断开连接。完成后用 sudo ufw status verbose 核对规则。

三云厂商安全组与回程流量

除系统防火墙外，还需在云服务商控制台放行相同端口的入站规则（如 25/587/465/143/993/110/995），否则公网流量会被拦截。
建议仅对可信来源开放 25/TCP（例如仅允许自家出口/中继），并限制管理端口 22/TCP 的来源网段。
出站方向通常需放行 25/TCP（对外投递）、53/UDP/TCP（DNS）、以及客户端与服务器间通信所需端口，避免邮件投递与检索失败。

四验证与排错

本机连通性测试

telnet mail.example.com 25    # EHLO 测试
telnet mail.example.com 143   # IMAP 测试
telnet mail.example.com 110   # POP3 测试

加密端口可用 openssl s_client -connect mail.example.com:993 -quiet 验证 TLS 握手。

查看防火墙状态与规则编号

sudo ufw status verbose
sudo ufw status numbered

删除规则（按编号或按规则）

sudo ufw delete 3
sudo ufw delete allow 25/tcp

日志与常见问题：检查 /var/log/mail.log（Postfix）与 /var/log/mail.err；若端口不通，优先核对云安全组与 UFW 是否一致放行，再检查服务是否监听对应端口（ss -tlnp | grep -E ':(25|143|993|110|995|587|465)'）。

最新问答

相关标签