德国大带宽服务器被发垃圾邮件?如何封禁25端口?

如果你手里有一台德国大带宽服务器，最近发现邮件发送队列莫名其妙地堆满了，或者收到了机房发来的滥用投诉邮件，那八成是服务器被人盯上，拿来发垃圾邮件了。这种情况在德国机房的运维圈子里并不少见，尤其是Hetzner这类以性价比和大带宽著称的德国服务商，更是垃圾邮件发送者的重点目标。当务之急，是先把25端口的事情搞清楚、处理干净。

为什么垃圾邮件和25端口脱不了干系

先得把25端口的“黑历史”捋一捋。25端口是SMTP协议的默认端口，负责服务器之间传递邮件。这协议设计得很早，那个时候互联网还讲“信任”二字，邮件服务器不加验证就愿意帮别人转发邮件。结果就是，垃圾邮件发送者满世界扫描，找到那些配置不当的服务器，就利用25端口的开放通道，把成吨的垃圾邮件塞进去，再让服务器帮忙转发出去。

德国大带宽服务器之所以容易被盯上，跟它的网络环境有关。大带宽意味着高吞吐量，垃圾邮件发送者最喜欢这种能“跑量”的资源。一旦服务器被扫描到25端口开放且未做防护，很快就会被纳入各种僵尸网络，成为全球垃圾邮件链条上的一环。后果是什么呢?轻则服务器IP被各大邮件服务商拉黑，自己正常发出的邮件也被拒收;重则机房直接停机，甚至把整个IP段都封了，连累同机房的其它用户。

封禁25端口的根本目的：切断“出”的通道

聊封禁25端口，得先把方向搞清楚。我们通常说的“封禁25端口”，在反垃圾邮件的语境下，绝大多数情况指的是封禁出方向的25端口，也就是不让服务器主动向外网的其它邮件服务器发起25端口的连接请求。

为什么要这么干?因为垃圾邮件发送者利用你的服务器向外发信，走的就是出方向25端口。把这个口子堵上，服务器就失去了向外发送垃圾邮件的“发射通道”。至于入方向的25端口，也就是让外部邮件能发进来的通道，反而是我们通常希望保留的——不然你的服务器就收不到外部来的正常邮件了。所以，封禁出方向25端口，是“防内鬼”而非“堵外客”。

德国很多大型网络服务商早就这么干了，他们普遍会阻断客户网络出方向的25端口连接，要求客户统一使用服务商自己的“智能主机”来发邮件。这样一来，所有外发邮件都有日志可查，哪台机器在异常大量发信，一目了然。

如何封禁出方向25端口：两条可行路径

具体到操作层面，如果确认服务器被滥用、需要封禁出方向25端口，通常有两条路。

第一条路，也是最省事的：让机房来封。很多德国的IDC服务商，默认就在网络层面把出方向25端口给拦截了，除非你主动申请开白名单。如果你的服务器还“幸运地”能往外发25端口的邮件，说明当前网络策略是放行的。这时候你可以直接提工单，申请在防火墙或者网络策略层面，把你这台服务器的出方向25端口给封掉。机房操作，立竿见影，你自己不用折腾任何系统配置。

第二条路，如果机房不支持或者你想自己控制，那就得在服务器系统层面动手脚了。Linux下最常见的办法是用iptables防火墙来拦截。一条规则就能搞定：

iptables -A OUTPUT -p tcp --dport 25 -j DROP

这条命令的意思是在输出链上加一条规则，所有目标端口是25的TCP包，统统丢弃。执行完，服务器自己就发不出25端口的邮件了。不过这种办法有个小隐患——万一服务器已经被植入后门，攻击者有可能把这条规则给删了或者绕过。所以更稳妥的做法，还是结合机房层面的策略，双重保险。

堵上了25端口，业务邮件怎么办

出方向25端口一封，麻烦也就来了：服务器上原本跑着的正规业务，比如网站注册邮件、订单通知，也都发不出去了。总不能为了防垃圾邮件，把正常业务也停了吧?

这就需要引入替代方案。现代邮件发送的标准做法，早就不是直接用25端口裸奔了。正确的姿势是用587端口配合STARTTLS加密，或者用465端口做SMTPS加密连接。这两个端口要求身份验证和加密传输，安全得多，也基本不会被机房默认拦截。

所以正确的操作链条应该是：先把服务器上的邮件发送程序(比如Postfix、Sendmail)的配置改了，把往外投递邮件的方式改成通过一个支持587或465端口的“邮件中继服务”来转发，而不是直接往目标邮局服务器发。然后再去把出方向的25端口封掉。这样既断了垃圾邮件的路，又不影响正规业务的邮件投递。

结语

德国大带宽服务器被发垃圾邮件，说到底，问题不在服务器本身，而在于安全意识的缺失。25端口这把“老锁”，在如今的网络环境下已经漏洞百出，继续敞开着无异于引狼入室。应对这件事，思路要清晰：先切断出方向的25端口通道，把被滥用的可能降到最低;再给业务邮件找一条更安全的替代出路，用587或465端口配合加密和中继来走正规邮件。安全运维这件事，很多功夫都在“堵”和“疏”的平衡之间，把该堵的堵严实了，把该疏的疏通顺了，才能睡得踏实。