Postfix smtps та плутанина при поданні

13

Я налаштував постфікс, щоб клієнти електронної пошти використовували порт 465 (smtps) для вихідної пошти. Я не дуже розумію різницю між smtps (порт 465) та поданням (порт 587)

Яка "найкраща практика" під час налаштування постфікса для клієнтів для надійної надсилання пошти? Просто використовувати smtps? Або використовувати як подання, так і smtps?

postfix  smtps 
Адітя К
джерело

Відповіді:

21

Порт 465 використовувався для з'єднань SMTP, захищених SSL. Однак використання цього порту для SMTP було призупинено наявністю STARTTLS: "Відкликання smtps TCP-порту" У ці дні ви більше не повинні використовувати порт 465 для SMTPS. Натомість використовуйте порт 25 для отримання листів для вашого домену від інших серверів, або порт 587 для отримання електронних листів від клієнтів, яким потрібно надсилати пошти через ваш сервер на інші домени та, таким чином, на інші сервери.

Як додаткову примітку, порт 587, однак, призначений для надсилання пошти - а подання пошти призначене для зміни повідомлення та / або надання автентифікації:

  • пропонуючи та вимагаючи автентифікації для клієнтів, які намагаються надсилати пошту
  • забезпечення механізмів безпеки для запобігання надсиланню небажаної масової пошти (спаму) або заражених листів (вірусів тощо)
  • змінити пошту для потреб організації (переписування з частини тощо)

Подання в порт 587 повинно підтримувати STARTTLS і, таким чином, може бути зашифровано. Дивіться також RFC # 6409 .

ліквідовати
джерело
Дякую за вашу відповідь, я успішно налаштовую подання з постфіксом, і зараз мені набагато зрозуміліше. :-)
Адітя К
Ласкаво просимо =)
liquidat
1
Трафік порту 465 повністю зашифрований. Під час використання запуску клієнт може ввести безпечну передачу і вийти з неї, надсилаючи дані без шифрування. serverfault.com/q/523804/201912
QkiZ
2

TL; DR

Нова рекомендація полягає в тому, щоб на даний момент підтримувати як подання / smtps, так і подання за допомогою STARTTLS, припиняючи пізніше, коли воно більше не використовується. (Ці ж рекомендації стосуються і POP3 проти POP3S, і IMAP проти IMAPS.)

Деталі

Найкраща практика змінилася в RFC 8314 Розділ 3.3 :

Коли для служби "подання" встановлено з'єднання TCP (порт за замовчуванням 465), негайно починається рукостискання TLS. […]

Механізм STARTTLS на порту 587 порівняно широко розгорнутий через ситуацію з портом 465 (обговорюється в розділі 7.3). Це відрізняється від служб IMAP та POP, коли Implicit TLS більш широко розгорнуто на серверах, ніж STARTTLS. Бажано , щоб мігрувати основних протоколів , використовуваних програмним забезпеченням MUA для неявних TLS з плином часу, за консистенцією, а також для додаткових причин , обговорюваних в додатку А . Однак, щоб максимально використовувати шифрування для подання, бажано підтримувати обидва механізми подання повідомлення через TLS протягом перехідного періоду в кілька років. Як результат, клієнти та сервери ДОЛЖНІ впроваджувати як STARTTLS на порт 587, так і неявні TLS на порту 465 за цей перехідний період. Зауважте, що між властивостями безпеки STARTTLS на порту 587 та неявним TLS на порту 465 немає суттєвої різниці, якщо реалізації правильні та якщо і клієнт, і сервер налаштовані вимагати успішного узгодження TLS до надсилання повідомлення.

Цитований додаток А далі детально розглядає рішення про перевагу неявних TLS для всіх SMTP, POP3 та IMAP, оскільки ці основні моменти

  1. Ми хочемо скрізь мати лише зашифровані з'єднання, тому немає сенсу підтримувати назад сумісну версію всіх цих протоколів, коли на практиці не використовується сумісність
  2. На етапі переговорів щодо STARTTLS відбулися подвиги через однакові проблеми в кількох реалізаціях
ntninja
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.