Postfix smtps và trình nhầm lẫn

13

Tôi đã thiết lập postfix để ứng dụng email khách sử dụng cổng 465 (smtps) cho thư gửi đi. Tôi không thực sự hiểu sự khác biệt giữa smtps (cổng 465) và trình (cổng 587)

'Cách thực hành tốt nhất' khi định cấu hình postfix cho khách hàng để gửi thư an toàn là gì? Chỉ sử dụng smtps? Hoặc sử dụng cả trình và smtps?

postfix  smtps 
Aditya K
nguồn

Câu trả lời:

21

Cổng 465 đã được sử dụng cho các kết nối SMTP được bảo mật bởi SSL. Tuy nhiên, việc sử dụng cổng đó cho SMTP đã không được chấp nhận với tính khả dụng của STARTTLS: "Thu hồi cổng TCP smtps" Ngày nay, bạn không còn nên sử dụng Cổng 465 cho SMTPS. Thay vào đó, hãy sử dụng Cổng 25 để nhận thư cho miền của bạn từ các máy chủ khác hoặc cổng 587 để nhận e-mail từ khách hàng, những người cần gửi thư qua máy chủ của bạn đến các miền khác và các máy chủ khác.

Như một lưu ý bổ sung, tuy nhiên, cổng 587 được dành riêng để gửi thư - và việc gửi thư được thiết kế để thay đổi thư và / hoặc cung cấp xác thực:

  • cung cấp và yêu cầu xác thực cho các khách hàng cố gắng gửi thư
  • cung cấp các cơ chế bảo mật để ngăn chặn việc gửi thư hàng loạt không được yêu cầu (thư rác) hoặc thư bị nhiễm (vi rút, v.v.)
  • sửa đổi thư theo nhu cầu của một tổ chức (viết lại từ phần, v.v.)

Việc gửi tới cổng 587 được cho là hỗ trợ STARTTLS và do đó có thể được mã hóa. Xem thêm RFC # 6409 .

thanh lý
nguồn
Cảm ơn bạn đã trả lời, tôi thiết lập thành công trình với postfix và mọi thứ rõ ràng hơn với tôi bây giờ. :-)
Aditya K
Bạn được chào đón =)
thanh lý
1
Lưu lượng trên cổng 465 được mã hóa hoàn toàn. Khi bạn sử dụng starttls, máy khách có thể nhập vào truyền an toàn và thoát khỏi nó gửi dữ liệu mà không cần mã hóa. serverfault.com/q/523804/201912
QkiZ
2

TL; DR

Đề xuất mới là hỗ trợ cả đệ trình / smtpsgửi với STARTTLS trong thời gian hiện tại, loại bỏ sau này một khi nó không được sử dụng nữa. (Các đề xuất tương tự cũng áp dụng cho POP3 so với POP3S và IMAP so với IMAPS.)

Chi tiết

Cách thực hành tốt nhất đã thay đổi với RFC 8314 Mục 3.3 :

Khi kết nối TCP được thiết lập cho dịch vụ "đệ trình" (cổng mặc định 465), bắt tay TLS bắt đầu ngay lập tức. [Càng]

Cơ chế STARTTLS trên cổng 587 được triển khai tương đối rộng do tình huống với cổng 465 (được thảo luận trong Phần 7.3). Điều này khác với các dịch vụ IMAP và POP trong đó TLS tiềm ẩn được triển khai rộng rãi trên các máy chủ hơn STARTTLS. Đó là mong muốn để các giao thức cốt lõi di cư được sử dụng bởi phần mềm MUA để TLS Implicit theo thời gian, nhất quán cũng như vì những lý do khác được thảo luận trong Phụ lục A . Tuy nhiên, để tối đa hóa việc sử dụng mã hóa để gửi, mong muốn hỗ trợ cả hai cơ chế Gửi tin nhắn qua TLS trong thời gian chuyển tiếp vài năm. Do đó, máy khách và máy chủ NÊN triển khai cả STARTTLS trên cổng 587 và TLS tiềm ẩn trên cổng 465 cho giai đoạn chuyển tiếp này. Lưu ý rằng không có sự khác biệt đáng kể giữa các thuộc tính bảo mật của STARTTLS trên cổng 587 và TLS tiềm ẩn trên cổng 465 nếu việc triển khai là chính xác và nếu cả máy khách và máy chủ đều được định cấu hình để yêu cầu đàm phán thành công TLS trước khi gửi tin nhắn.

Sau đó, Phụ lục A được trích dẫn sẽ đưa ra quyết định thích sử dụng TLS ngầm cho tất cả các SMTP, POP3 và IMAP, vì những điểm chính này

  1. Chúng tôi muốn chỉ có các kết nối được mã hóa ở mọi nơi, vì vậy không có lý do gì để duy trì phiên bản tương thích ngược của tất cả các giao thức này khi, trong thực tế, tính tương thích không được sử dụng
  2. Đã có những khai thác của giai đoạn đàm phán STARTTLS vì các vấn đề giống hệt nhau trong một số triển khai
ntninja
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.