Назад | Перейти на главную страницу

Postfix smtps и путаница с отправкой

Я установил postfix, чтобы почтовые клиенты использовали порт 465 (smtps) для исходящей почты. Я не очень понимаю разницу между smtps (порт 465) и отправкой (порт 587)

Какова «лучшая практика» при настройке postfix для безопасной отправки почты клиентами? Просто использовать smtps? Или использовать и подчинение, и smtps?

Порт 465 использовался для SMTP-соединений, защищенных SSL. Однако использование этого порта для SMTP устарело из-за доступности STARTTLS: "Отмена TCP-порта smtps" В наши дни вам больше не следует использовать порт 465 для SMTPS. Вместо этого используйте порт 25 для получения почты для вашего домена с других серверов или порт 587 для получения электронной почты от клиентов, которым необходимо отправлять почту через ваш сервер на другие домены и, следовательно, на другие серверы.

В качестве дополнительного примечания порт 587, однако, предназначен для отправки почты - а отправка почты предназначена для изменения сообщения и / или обеспечения аутентификации:

  • предлагая и требуя аутентификации для клиентов, которые пытаются отправлять письма
  • обеспечение механизмов безопасности для предотвращения отправки нежелательных массовых писем (спама) или зараженных писем (вирусов и т. д.)
  • модифицировать почту в соответствии с потребностями организации (переписать от части и т. д.)

Отправка на порт 587 должна поддерживать STARTTLS и, следовательно, может быть зашифрована. Смотрите также RFC # 6409.

TL; DR

Новая рекомендация - поддерживать оба представления/smtps и подчинение с STARTTLS на данный момент, постепенно отказываясь от более позднего, когда он больше не используется. (Те же рекомендации также применимы для POP3 против POP3S и IMAP против IMAPS.)

подробности

Лучшая практика изменилась с RFC 8314, раздел 3.3:

Когда TCP-соединение устанавливается для службы «отправки» (порт по умолчанию 465), немедленно начинается подтверждение TLS. […]

Механизм STARTTLS на порту 587 относительно широко используется из-за ситуации с портом 465 (обсуждается в разделе 7.3). Это отличается от служб IMAP и POP, где неявный TLS более широко развернут на серверах, чем STARTTLS. Желательно со временем перевести основные протоколы, используемые программным обеспечением MUA, на неявный TLS для согласованности, а также по дополнительным причинам, обсуждаемым в Приложение. Однако, чтобы максимально использовать шифрование для отправки, желательно поддерживать оба механизма для отправки сообщений через TLS в течение переходного периода в несколько лет. В следствии, клиенты и серверы ДОЛЖНЫ реализовать как STARTTLS на порту 587, так и неявный TLS на порту 465 в течение этого переходного периода.. Обратите внимание, что нет существенной разницы между свойствами безопасности STARTTLS на порту 587 и неявном TLS на порту 465, если реализации верны и если и клиент, и сервер настроены на требование успешного согласования TLS до отправки сообщения.

Указанный Приложение затем подробно описывает решение о предпочтении неявного TLS для всех SMTP, POP3 и IMAP, поскольку эти основные моменты

  1. Мы хотим только в любом случае имеют зашифрованные соединения везде, поэтому нет смысла поддерживать обратно-совместимую версию всех этих протоколов, когда на практике эта совместимость не используется
  2. На этапе согласования STARTTLS использовались уязвимости из-за идентичных проблем в нескольких реализациях.