Smtps postfix dan kebingungan pengiriman

13

Saya telah menyiapkan postfix sehingga klien email menggunakan port 465 (smtps) untuk email keluar. Saya tidak terlalu mengerti perbedaan antara smtps (port 465) dan submission (port 587)

Apa 'praktik terbaik' ketika mengkonfigurasi postfix untuk klien agar dapat mengirim email dengan aman? Cukup gunakan smtps? Atau gunakan kiriman dan smtps?

postfix smtps Aditya K
sumber

Jawaban:

21

Port 465 digunakan untuk koneksi SMTP yang diamankan oleh SSL. Namun, menggunakan port itu untuk SMTP telah ditinggalkan dengan ketersediaan STARTTLS: "Mencabut port TCP smtps" Saat ini Anda seharusnya tidak lagi menggunakan Port 465 untuk SMTPS. Sebaliknya, gunakan Port 25 untuk menerima email untuk domain Anda dari server lain, atau port 587 untuk menerima email dari klien, yang perlu mengirim email melalui server Anda ke domain lain dan dengan demikian server lain.

Sebagai catatan tambahan, port 587 didedikasikan untuk pengiriman surat - dan pengiriman surat dirancang untuk mengubah pesan dan / atau memberikan otentikasi:

  • menawarkan dan membutuhkan otentikasi untuk klien yang mencoba mengirim surat
  • menyediakan mekanisme keamanan untuk mencegah pengiriman surat massal yang tidak diminta (spam) atau surat yang terinfeksi (virus, dll.)
  • memodifikasi surat dengan kebutuhan organisasi (menulis ulang dari bagian, dll.)

Pengajuan ke port 587 seharusnya mendukung STARTTLS, dan karenanya dapat dienkripsi. Lihat juga RFC # 6409 .

liquidat
sumber
Terima kasih atas jawaban Anda, saya berhasil mengatur pengiriman dengan postfix dan banyak hal yang lebih jelas bagi saya sekarang. :-)
Aditya K
liquidat
1
Lalu lintas di port 465 sepenuhnya terenkripsi. Ketika Anda menggunakan starttls, klien dapat masuk dalam transmisi aman dan berhenti darinya mengirim data tanpa enkripsi. serverfault.com/q/523804/201912
QkiZ
2

TL; DR

Rekomendasi baru adalah untuk mendukung pengajuan / smtps dan pengajuan dengan STARTTLS untuk sementara waktu, menghapus secara bertahap setelah itu tidak digunakan lagi. (Rekomendasi yang sama juga berlaku untuk POP3 vs POP3S dan IMAP vs IMAPS.)

Detail

Praktik terbaik telah berubah dengan RFC 8314 Bagian 3.3 :

Ketika koneksi TCP dibuat untuk layanan "pengiriman" (port default 465), jabat tangan TLS segera dimulai. [...]

Mekanisme STARTTLS pada port 587 relatif banyak digunakan karena situasi dengan port 465 (dibahas dalam Bagian 7.3). Ini berbeda dari layanan IMAP dan POP di mana TLS implisit lebih banyak digunakan pada server daripada STARTTLS. Hal ini diinginkan untuk protokol inti bermigrasi digunakan oleh perangkat lunak MUA untuk TLS implisit dari waktu ke waktu, untuk konsistensi serta untuk alasan tambahan dibahas dalam Lampiran A . Namun, untuk memaksimalkan penggunaan enkripsi untuk pengiriman, diinginkan untuk mendukung kedua mekanisme untuk Pengiriman Pesan melalui TLS untuk masa transisi beberapa tahun. Hasil dari, klien dan server HARUS mengimplementasikan STARTTLS pada port 587 dan TLS implisit pada port 465 untuk periode transisi ini. Perhatikan bahwa tidak ada perbedaan yang signifikan antara properti keamanan STARTTLS pada port 587 dan TLS implisit pada port 465 jika implementasinya benar dan jika klien dan server dikonfigurasikan untuk memerlukan negosiasi TLS yang berhasil sebelum Pengiriman Pesan.

Lampiran A yang dikutip kemudian menguraikan keputusan untuk memilih TLS implisit untuk semua SMTP, POP3 dan IMAP, karena poin-poin utama ini

  1. Kami hanya ingin memiliki koneksi terenkripsi di mana saja, jadi tidak ada gunanya mempertahankan versi yang kompatibel dengan semua protokol ini ketika, dalam praktiknya kepatuhan tidak digunakan
  2. Telah ada eksploitasi dari fase negosiasi STARTTLS karena masalah yang sama dalam beberapa implementasi
ntninja
sumber