Ograniczenie dostępu do skrzynki e-mail w cPanel za pomocą firewalla

Procédure

Aby zapobiec nieautoryzowanemu dostępowi do adresu e-mail, można użyć narzędzia zapory e-mail na naszych serwerach cPanel, aby ograniczyć dostęp do tych skrzynek odbiorczych za pomocą protokołów POP i IMAP. W ten sposób, pomimo wycieku hasła, dostęp do adresu e-mail można uzyskać tylko w protokołach POP i IMAP z wybranych krajów lub adresów IP.

Jakie ograniczenia można skonfigurować w Email Firewall?

Można autoryzować lub blokować dostęp do segmentów sieci internetowej. Autoryzacja lub blokowanie dotyczy protokołów POP i IMAP, tj. oprogramowania poczty e-mail (Outlook, Thunderbird itp.) i nie ma zastosowania do dostępu do poczty internetowej.

Aby wybrać segment sieci internetowej, można użyć :

• Adres IP lub zakres adresów
• Numer AS (Autonomous System): każdy dostawca usług internetowych ma swój własny numer AS, dzięki czemu można ograniczyć dostęp do określonego dostawcy usług internetowych.
• Kraj

Możesz także autoryzować lub blokować adresy IP zidentyfikowane jako nierezydentalne, tj. adresy IP, które nie odpowiadają tradycyjnym subskrypcjom internetowym (skrzynka internetowa, połączenie 4G itp.), ale serwerom, urządzeniom centrum danych, VPN itp.

Jak skonfigurować reguły blokowania/autoryzacji?

W panelu sterowania cPanel kliknij ikonę Email Firewall w sekcji E-mail.

Wyświetlona zostanie lista skrzynek pocztowych. Kliknij przycisk"Konfiguruj reguły" odpowiadający adresowi e-mail, który chcesz skonfigurować:

Zostanie wyświetlona lista aktualnie obowiązujących reguł:

Następnie można :

1. Zmienić domyślną akcję: co się dzieje, gdy połączenie nie pasuje do żadnej z reguł.
2. Dodać nową regułę

Tworzenie nowej reguły

Klikając przycisk"Dodaj regułę" (2), można dodać nową regułę do zapory:

Następnie możesz wprowadzić część sieci, do której chcesz kontrolować dostęp:

• Adres IP lub zakres sieci w notacji CIDR. Przykłady:
  • 1.2.3.4 aby zablokować lub zezwolić na adres IP 1.2.3.4
  • 1.2.3.4/24, aby zablokować adres IP od 1.2.3.0 do 1.2.3.255(dowiedz się więcej o notacji CIDR).
• Numer AS (systemu autonomicznego). Przykład: 210403. Numer AS dostawcy usług internetowych można znaleźć za pomocąnarzędzia Radar firmy Cloudflare lub PeeringDB.
• Kraj. Przykład: Francja
• Nierezydentalny adres IP.

Wybierz działanie, które chcesz podjąć, tj. zablokować lub autoryzować wszystkie połączenia z Internetu spełniające wymienione kryterium, a następnie kliknij"Zapisz", aby zapisać ustawienia.

Następnie można zmienić kolejność priorytetów nowo utworzonych reguł za pomocą przycisków "W górę" i "W dół".

Priorytet reguł

Za pomocą priorytetu reguły można skonfigurować wykluczenia reguł. System firewall stosuje reguły od góry do dołu. W przypadku poprzedniego zrzutu ekranu :

• Blokowanie nierezydentalnych adresów IP (reguła nr 1) ma pierwszeństwo przed autoryzacją bloku adresów IP 1.2.3.4/32 (reguła nr 2). Oznacza to, że adres IP 1.2.3.4 zostanie zablokowany przez regułę nr 1 , jeśli odpowiada adresowi IP niebędącemu adresem zamieszkania, nawet jeśli jest autoryzowany przez regułę nr 2.
• Autoryzacja blokady adresu IP 1.2.3.4/32 (zasada nr 2) jest nadrzędna wobec blokady Stanów Zjednoczonych (zasada nr 3). Oznacza to, że adres IP 1.2.3.4 będzie autoryzowany przez regułę nr 2 , nawet jeśli pochodzi ze Stanów Zjednoczonych.

Jeśli połączenie nie pasuje do żadnej reguły na liście, zostanie obsłużone przez domyślną akcję.

Usuwanie reguły

Aby usunąć istniejącą regułę, wystarczy kliknąć przycisk Usuń odpowiadający linii reguły, którą chcesz usunąć.

Diagnozowanie problemu z połączeniem POP/IMAP

Jeśli masz problem z połączeniem się ze skrzynką e-mail, przyczyną może być jedna z powiązanych z nią reguł zapory. Przyczyna jest wskazana w komunikacie o błędzie zwracanym przez serwer:

W tym przykładzie komunikat o błędzie zwrócony przez serwer brzmi:"Odmowa dostępu przez regułę zapory e-mail nr 1". Oto dwa rodzaje komunikatów o błędach zwracanych przez serwer w związku z narzędziem zapory e-mail:

• Odmowa dostępu przez regułę zapory e-mail nr XX: połączenie jest blokowane przez określoną regułę. Regułę można wyszukać po numerze priorytetu w interfejsie.
• Access denied by email firewall default behavior settings: połączenie nie odpowiada żadnej konkretnej regule i zostało zablokowane przez domyślne działanie zapory e-mail.

Niestety, niektóre programy pocztowe (takie jak Mozilla Thunderbird) nie wyświetlają komunikatu o błędzie zwracanego przez serwer, a jedynie ogólny komunikat:

W tego typu sytuacji należy zapoznać się z dziennikami połączeń, aby znaleźć przyczynę blokady. Aby to zrobić, należy najpierw pobrać adres IP bieżącego połączenia internetowego z https://monip.lws.fr (lub innego narzędzia do wykrywania publicznych adresów IP).

Gdy już to zrobisz, przejdź do narzędzia "Logi" w cPanel :

W sekcji "Pliki dziennika poczty e-mail" (1) pobierz historię połączeń ze skrzynkami e-mail IMAP lub POP (2):

Następnie wybierz daną skrzynkę pocztową:

Zdarzenia blokowania powiązane ze skrzynką pocztową zostaną wyświetlone na liście, dzięki czemu można znaleźć zdarzenia powiązane z adresem IP:

Możesz użyć narzędzia filtrowania, aby ograniczyć wyświetlanie do określonego adresu IP lub wiadomości.

Oto wiadomości powiązane z narzędziem zapory e-mail:

• Uwierzytelnianie zablokowane przez regułę zapory e-mail nr XX (IP nierezydenta). IP: 0.0.0.0, Username: johndoe@example.com: oznacza to, że wskazana reguła zablokowała adres IP, ponieważ ten adres IP jest adresem nierezydencyjnym.
• Uwierzytelnianie zablokowane przez regułę zapory e-mail nr XX (ograniczony adres IP/blokada sieci). IP: 0.0.0.0, Username: johndoe@example.com: oznacza to, że wskazana reguła zablokowała adres IP, ponieważ odpowiada on wskazanemu blokowi adresów IP.
• Uwierzytelnianie zablokowane przez regułę zapory e-mail nr XX (ograniczony numer AS). IP: 0.0.0.0, Username: johndoe@example.com: oznacza to, że wskazana reguła zablokowała adres IP, ponieważ należy on do wskazanego numeru AS.
• Uwierzytelnianie zablokowane przez regułę zapory e-mail nr XX (ograniczony kraj). IP: 0.0.0.0, Nazwa użytkownika: johndoe@example.com: oznacza to, że wskazana reguła zablokowała adres IP, ponieważ znajduje się on we wskazanym kraju.
• Uwierzytelnianie zablokowane przez domyślne zachowanie zapory e-mail. IP: 0.0.0.0, Username:johndoe@example.com: oznacza to, że połączenie pochodzi z adresu IP, który nie odpowiada żadnej regule, a domyślna akcja blokuje połączenie.

Po zidentyfikowaniu reguły możesz zmienić kolejność reguł, ponownie dostosować domyślną akcję lub dodać lub usunąć reguły, które Ci nie odpowiadają.