Nom de domaine et Mail Server Synology

Une machine avec le port 25 ouvert à l'écoute reçoit quelques attaques par jour, généralement non ciblées. On a tous les jours des Taiwanais qui testent si on est en open-relay.
On a parfois des attaques où on cible la vulnérabilité bash, dans un mail envoyé à root ou nobody.
On a des attaques de login/password (bruteforce) pour tenter d'obtenir du SMTP authentifié, et à partir de là envoyer du spam.

Ca c'est lorsque ton serveur n'est le MX d'aucun domaine.

Maintenant dès que tu deviens le MX de domaines ayant quelques années de vol, avec une bonne visibilité sur internet, tu te payes une avalanche de spams et virus qu'il faut bloquer, intercepter, refuser. C'est un job à part entière. On parle de blacklists, de spamassassin, etc.
En quelques heures tu peux te configurer ton serveur, mais ensuite il faut rester à l'affût. Te tenir informé. Suivre l'actualité. On n'est décidément plus chez les bisounours.

Merci fritz2cat pour ces précisions.
Malheureusement, ça ne solutionne pas mon problème. Si le port 25 doit obligatoirement être utilisé, le port forwarding ne résoudra pas les tentatives d'accès non sollicitées. Et je ne sais pas si le tunneling peut y faire quelque chose, car je ne maitrise pas du tout ce côté obscur d'internet.

Hormis ce port 25 qui est gravé dans le marbre, est-il au moins possible de paramétrer ovh pour qu'il redirige certains ports sur d'autres ports ?

laurentm :
Oui, les règles par pays sont arrivées avec la DSM5.0 et je les appliquent avec un certain succès. Les tentatives venues de pays où le hacking est un sport national sont stoppées. Je suis toujours en 5.0 car la 5.1 est bien trop buggée pour que je franchisse le pas.
Je ne suis qu'un modeste particulier qui ne doit pas souvent dépasser plus de 20 mails dans la journée, donc aucun risque de faire péter le compteur.
Je sorts effectivement par le smtp free, surtout pour ne pas être bloqué par les serveurs crétins comme tu les appelles qui rangent dans la catégorie spam tous les mails issue de domaine non officiel.
Pour le tunnel VPN, c'est sans doute une très bonne idée. Encore faut-il maitriser la chose. Si j'en comprends plus ou moins le principe, je n'ai pas encore compris comment je pouvais concrètement l'appliquer à mon utilisation. Donc, joker. Je suis en phase d'étude, mais je n'ai pas vraiment du temps à y consacrer.

Le Synology DSM version 5.1 est capable de gérer des règles firewall pour interdire les ip de certains pays.
Si tu sors par le smtp free tu as peu de risques de devenir un relais de spam car free bloque les envois de plus de 300 mails par 24h.
Ceci pose d'ailleurs un problème dans le cas d'une petite entreprise de 10 personnes qui envoient chacune plus de 30 mails, ce qui n'est pourtant pas abusif !
On peut aussi sortir directement par internet, si l'on a bien configuré son reverse dns chez Free, on sera accepté par 75% des serveurs mails destinataires
mais toujours blacklistés par les crétins de TrendMicro qui considèrent les ip fixes de Free et Orange comme des ip dynamiques !

Le risque avec le Synology est d'autoriser l'envoi de mails avec authentification (port 25, 587, 465) car même avec la sécurité TLS j'ai des clients qui ont réussi à se faire pirater leur mot de passe (pourtant non trivial) et à devenir relais de spam. Le mieux, quand on veut envoyer des mails en déplacement depuis son serveur, est de monter un tunnel VPN PPTP (incorporé depuis quelque temps dans les Synology). C'est idéal, par contre certaines versions d'Android sont des bugs avec le PPTP alors que le client est inclus dans l'OS et fonctionne avec tous les Windows, Mac, Linux et même i-phone.

Si je t'envoie un mail, mon serveur mail va consulter le MX de ton domaine, et ouvrir une connexion vers le port 25 de ce MX.
C'est comme ça et tu ne pourras pas le changer.
Tu peux par contre faire tout ce que tu veux derrière (port forwarding, tunneling, ...), du moment que ton MX répond sur le port 25.

Merci fritz2cat pour cette réponse.
Il n'est pas possible de rediriger une requête smtp qui arrive sur le port 25 vers un autre port et de rediriger à nouveau ce port vers le 25 du NAS ?
En gros SMTP.mondomaine.fr --> port X --> port X de la Freebox --> port 25 du NAS.

Est ce qu'il est possible de faire de la redirection de ports dans la zone DNS d'OVH, comme par exemple le 21 (FTP) vers un port personnalisé, et si oui, comment procéder ?

Le SMTP entre serveurs utilisera toujours le port 25

Bonjour,

Je viens d'acquérir un nom de domaine que je souhaite utiliser pour envoyer/recevoir des email avec mon NAS Synology.
Je suis chez free avec une IP fixe.

J'ai bien paramétré dans la zone DNS un champ A pour que mon nom de domaine pointe vers mon IP :
*.mondomaine.fr. A 88.xxx.xx.xx (l'étoile en tête pour que toutes les requêtes soient transmises vers mon IP)
Et un champ MX :
mondomaine.fr. MX 1 www.mondomaine.fr.

Tout fonctionne bien avec ces paramètres, je peux envoyer et recevoir des email à partir du mail station du NAS ou de Thunderbird.
Pour les envois, j'utilise le smtp de free ou de gmail pour éviter que mes envois se retrouvent spamés.

Mais depuis que j'ai ouvert le port 25 de ma Freebox, j'ai eu plusieurs tentatives d'intrusions qui sont fort heureusement bloquées par le Syno. Ce n'est pas vraiment rassurant. J'ai donc fermé ce port temporairement.

D'où ma question :
Est-il possible de paramétrer la zone DNS de mon domaine pour que les SMTP, IMAP et POP ou d'autres services tel que le FTP soient adressés sur des ports différents que les ports par défaut ? (je peux ensuite faire l'opération inverse dans la Freebox pour ne pas avoir à modifier les ports du NAS)
Et dans le même ordre d'idée, est-il possible de diriger les ports non sécurisés des services vers les ports sécurisés correspondants : 25 vers le 465 pour le SMTP, etc ... ?

Merci d'avance pour votre aide.