Postfix smtps и путаница в представлении
Я настроил постфикс, чтобы почтовые клиенты использовали порт 465 (smtps) для исходящей почты. Я не очень понимаю разницу между smtps (порт 465) и отправкой (порт 587)
Какова "лучшая практика" при настройке postfix для клиентов для безопасной отправки почты? Просто использовать SMTP? Или использовать оба представления и SMTP?
3 ответа
Порт 465 использовался для SMTP-соединений, защищенных с помощью SSL. Однако использование этого порта для SMTP устарело с наличием STARTTLS: "отзыв порта TCP SMTP". В эти дни вам больше не следует использовать порт 465 для SMTPS. Вместо этого используйте порт 25 для получения почты для вашего домена с других серверов или порт 587 для получения электронной почты от клиентов, которым необходимо отправлять почту через ваш сервер в другие домены и, следовательно, на другие серверы.
В качестве дополнительного примечания, порт 587, однако, предназначен для отправки почты - и отправка почты предназначена для изменения сообщения и / или обеспечения аутентификации:
- предлагая и требуя аутентификацию для клиентов, которые пытаются отправить почту
- обеспечение механизмов безопасности для предотвращения отправки нежелательной массовой рассылки (спама) или зараженной почты (вирусы и т. д.)
- изменить почту для нужд организации (переписать с части и т. д.)
Предполагается, что передача на порт 587 поддерживает STARTTLS и, следовательно, может быть зашифрована. Смотрите также RFC# 6409.
TL;DR
Новая рекомендация состоит в том, чтобы в настоящее время поддерживать как отправку/smtps, так и отправку с помощью STARTTLS, постепенно отказываясь от более поздней версии, когда она больше не используется. (Те же рекомендации применимы и для POP3 против POP3S и IMAP против IMAPS.)
подробности
Лучшая практика изменилась с RFC 8314 Раздел 3.3:
Когда для службы "отправки" установлено TCP-соединение (порт 465 по умолчанию), квитирование TLS начинается немедленно. [...]
Механизм STARTTLS на порту 587 относительно широко развернут из-за ситуации с портом 465 (обсуждается в разделе 7.3). Это отличается от услуг IMAP и POP, где неявный TLS более широко развернут на серверах, чем STARTTLS. Желательно перенести основные протоколы, используемые программным обеспечением MUA, в неявный TLS с течением времени для согласованности, а также по дополнительным причинам, рассмотренным в Приложении A. Однако для максимального использования шифрования для отправки желательно поддерживать оба механизма для передачи сообщений по TLS в течение переходного периода в несколько лет. В результате клиенты и серверы ДОЛЖНЫ реализовывать как STARTTLS на порту 587, так и неявный TLS на порту 465 для этого переходного периода. Обратите внимание, что нет существенной разницы между свойствами безопасности STARTTLS на порту 587 и Неявным TLS на порту 465, если реализации верны и если и клиент, и сервер настроены так, чтобы требовать успешного согласования TLS перед отправкой сообщения.
Затем в цитируемом Приложении A подробно рассматривается решение о предпочтении неявного TLS для всех SMTP, POP3 и IMAP, поскольку эти основные моменты
- В любом случае мы хотим, чтобы везде были только зашифрованные соединения, поэтому нет смысла поддерживать обратно-совместимую версию всех этих протоколов, когда на практике эта совместимость не используется.
- На этапе согласования STARTTLS использовались эксплойты из-за идентичных проблем в нескольких реализациях
Как указано в разделе 7.4 IETF RFC8314 : «Хотя STARTTLS на порту 587 был развернут, он не заменил развернутое использование неявной отправки TLS на порту 465».
465/tcp (прямой TLS) сегодня активно использует SMTP MTA в Интернете, поскольку 578/tcp (STARTTLS) слишком легко использовать в качестве посредника.