Я хочу заблокировать smtp 25, pop 110 и imap 143 и использовать только защищенные smtps 465, pop3s 995 и imaps 993. Есть ли веские причины для открытия порта 25 110 143?
На самом деле упомянутые вами порты 465, 995 и 993 устарели и больше не должны использоваться.
Видеть RFC2995 Раздел 7
imaps и pop3s порты
Для использования с SSL были зарегистрированы отдельные порты «imaps» и «pop3s». Использование этих портов не рекомендуется в пользу команд STARTTLS или STLS.
При использовании отдельных портов для «безопасных» вариантов протоколов наблюдается ряд проблем. Это попытка перечислить некоторые из этих проблем.
Отдельные порты приводят к отдельной схеме URL-адресов, которая несоответствующим образом вторгается в пользовательский интерфейс. Например, на многих веб-страницах используется такой язык, как «щелкните здесь, если ваш браузер поддерживает SSL». Это решение, которое браузер может принять чаще, чем пользователь.
Раздельные порты подразумевают модель «безопасный» или «небезопасный». Это может вводить в заблуждение по нескольким причинам. Во-первых, «безопасный» порт на самом деле может быть неприемлемо безопасным, поскольку может использоваться набор шифров, нарушенный экспортом. Это может ввести в заблуждение пользователей ложное чувство безопасности. Во-вторых, нормальный порт на самом деле может быть защищен с помощью механизма SASL, который включает уровень безопасности. Таким образом, разделение портов по отдельности делает сложную тему политики безопасности еще более запутанной. Одним из распространенных результатов этой путаницы является то, что администраторы брандмауэра часто вводятся в заблуждение, разрешая «безопасный» порт и блокируя стандартный порт. Это может быть плохим выбором, учитывая, что обычное использование SSL с 40-битным уровнем шифрования ключей и аутентификация паролем с открытым текстом менее безопасна, чем надежные механизмы SASL, такие как GSSAPI с Kerberos 5.
Использование отдельных портов для SSL заставило клиентов реализовать только две политики безопасности: использовать SSL или не использовать SSL. Желательная политика безопасности «использовать TLS, когда доступен» была бы громоздкой с отдельной моделью порта, но проста с STARTTLS.
Номера портов - ограниченный ресурс. Хотя их еще нет в дефиците, неразумно создавать прецедент, который может удвоить (или даже хуже) скорость их потребления.
Что касается порта 465 для SMTPS, он был даже переназначен IANA для другого использования:
urd 465 tcp URL Rendesvous Directory для SSM
Источник : http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?&page=9
В частности, для SMTP почтовый сервер должен (в большинстве случаев) принимать незашифрованные сообщения, поскольку он, скорее всего, получит электронную почту от сервера, который не будет предлагать TLS.
Однако также рекомендуется использовать порт 25 для передачи почты с сервера на сервер и порт 587 для отправки почты от клиентов.
Видеть RFC2476
Извлечь:
- Отправка сообщения
3.1. Идентификация представления
Порт 587 зарезервирован для отправки сообщений электронной почты, как указано в этом документе. Сообщения, полученные через этот порт, считаются отправленными. Используемый протокол - ESMTP [SMTP-MTA, ESMTP] с дополнительными ограничениями, указанными здесь.
Хотя большинство почтовых клиентов и серверов можно настроить на использование порта 587 вместо 25, в некоторых случаях это невозможно или удобно. Сайт МОЖЕТ выбрать использование порта 25 для отправки сообщений, назначив одни хосты как MSA, а другие как MTA.
Что касается POP3, IMAP и отправки почты на порт 587, вы можете принудительно использовать шифрование на стандартных портах 110, 143, 587, настроив сервер так, чтобы он отказывался от соединения, не зашифрованного с помощью TLS. (и это настоятельно рекомендуется делать).
Поскольку STARTTLS может быть выдан в рамках обычного сеанса, существует нет причина использовать порты, отличные от стандартных 25/110/143.
Если другая сторона может использовать TLS - пусть будет TLS. Если нет, то произойдет простой незашифрованный сеанс.
Порты 110 и 143: Если я разрешаю открывать 110 (pop3s) и 143 изображений, это означает, что пользователи могут загружать сообщения в виде обычного текста своим клиентам.
Порт 25: Если я заблокирую порт 25, пользователи не смогут отправлять письма в виде обычного текста. Но есть кое-что, что я только что протестировал. Почтовый сервер не сможет получать письма, потому что письма не будут приниматься. Фактически, почтовые серверы общаются через порт 25.