SMTP do Postfix e confusão de envio

13

Eu configurei o postfix para que os clientes de email usem a porta 465 (smtps) para email de saída. Eu realmente não estou entendendo a diferença entre smtps (porta 465) e envio (porta 587)

Qual é a 'melhor prática' ao configurar o postfix para os clientes enviarem emails com segurança? Basta usar smtps? Ou use o envio e o smtps?

postfix smtps Aditya K
fonte

Respostas:

21

A porta 465 foi usada para conexões SMTP protegidas por SSL. No entanto, o uso dessa porta para SMTP foi preterido com a disponibilidade do STARTTLS: "Revogando a porta TCP smtps" Atualmente, você não deve mais usar a Porta 465 para SMTPS. Em vez disso, use a Porta 25 para receber emails do seu domínio de outros servidores ou a porta 587 para receber emails de clientes, que precisam enviar emails do servidor para outros domínios e, portanto, outros servidores.

Como uma observação adicional, a porta 587, no entanto, é dedicada ao envio de mensagens - e o envio de mensagens foi projetado para alterar a mensagem e / ou fornecer autenticação:

  • oferecendo e exigindo autenticação para clientes que tentam enviar e-mails
  • fornecendo mecanismos de segurança para impedir o envio de mensagens em massa não solicitadas (spam) ou mensagens infectadas (vírus, etc.)
  • modificar o correio de acordo com as necessidades de uma organização (reescrever a parte de, etc.)

O envio para a porta 587 deve suportar STARTTLS e, portanto, pode ser criptografado. Veja também RFC # 6409 .

liquidat
fonte
Obrigado pela resposta, eu configurei com êxito o envio com o postfix e as coisas estão muito mais claras para mim agora. :-)
Aditya K
Você é bem-vindo =)
liquidat
1
O tráfego na porta 465 é completamente criptografado. Quando você usa o starttls, o cliente pode entrar na transmissão segura e parar com o envio de dados sem criptografia. serverfault.com/q/523804/201912
QkiZ
2

TL; DR

A nova recomendação é oferecer suporte a envios / smtps e envios com o STARTTLS por enquanto, eliminando gradualmente mais tarde uma vez que não seja mais usado. (As mesmas recomendações também se aplicam a POP3 vs POP3S e IMAP vs IMAPS.)

Detalhes

A melhor prática foi alterada na seção 3.3 da RFC 8314 :

Quando uma conexão TCP é estabelecida para o serviço "envios" (porta padrão 465), um handshake TLS começa imediatamente. [...]

O mecanismo STARTTLS na porta 587 é relativamente amplamente implantado devido à situação na porta 465 (discutida na Seção 7.3). Isso difere dos serviços IMAP e POP, onde o TLS implícito é mais amplamente implantado nos servidores que o STARTTLS. É desejável para protocolos de núcleo migrar utilizados pelo software para MUA TLS implícitos ao longo do tempo, a consistência assim como pelas razões adicionais discutidos em Apêndice A . No entanto, para maximizar o uso da criptografia para envio, é desejável oferecer suporte aos dois mecanismos de envio de mensagens por TLS por um período de transição de vários anos. Como resultado, clientes e servidores devem implementar STARTTLS na porta 587 e TLS implícito na porta 465 para este período de transição. Observe que não há diferença significativa entre as propriedades de segurança do STARTTLS na porta 587 e do TLS implícito na porta 465 se as implementações estiverem corretas e se o cliente e o servidor estiverem configurados para exigir uma negociação bem-sucedida do TLS antes do envio de mensagens.

O apêndice A citado detalha a decisão de preferir TLS implícito para todo o SMTP, POP3 e IMAP, porque esses pontos principais

  1. Queremos única conexões tenham criptografados em todos os lugares de qualquer maneira, então não há nenhum ponto na manutenção de uma versão compatível com versões anteriores de todos esses protocolos quando, na prática, que a compatibilidade não é usada
  2. Houve explorações da fase de negociação do STARTTLS devido a problemas idênticos em várias implementações
ntninja
fonte