Jaka jest różnica między portami 465 i 587?

245

Te porty 465 i 587 są używane do wysyłania poczty (wysyłania poczty), ale jaka jest prawdziwa różnica między nimi?

email smtp port postfix-mta email-client Ilia Rostowcew
źródło
1
Jedyną różnicą są sformalizowane standardy, a port 465 służy do obsługi starszych wersji?
Ilia Rostovtsev,
„Nazwa usługi i rejestr numeru portu transportu” firmy Iana to formalny przewodnik po zalecanym korzystaniu z portów; użycie 465 dla SMTP przez SSL jest nieoficjalne. Przeczytaj o portach w SMTP . Oficjalne użycie iana nie zawsze jest takie samo dla protokołów transportowych TCP i UDP. Uwaga: jeśli jesteś administratorem serwera SMTP , TY decydujesz, które porty są używane; jeśli jesteś klientem , udostępniasz tylko porty.
gerryLowry
powiązane: stackoverflow.com/questions/3484947/...
Ciro Santilli 21 冠状 病 六四 事件 法轮功
powiązane: fastmail.com/help/technical/ssltlsstarttls.html
Rick

Odpowiedzi:

235

Protokół SMTP: smtps (port 465) v. Msa (port 587)

Porty 465 i 587 są przeznaczone do komunikacji między klientem a serwerem e-mail - wysyłanie wiadomości e-mail za pomocą protokołu SMTP.

Port 465 służy do smtps
Szyfrowanie SSL jest uruchamiane automatycznie przed komunikacją na dowolnym poziomie SMTP.

Port 587 jest dla MSA
Jest prawie jak standardowy port SMTP. MSA powinien zaakceptować e-mail po uwierzytelnieniu (np. Po SMTP AUTH). Pomaga zatrzymać wychodzący spam, gdy webmasterzy zakresów DUL mogą blokować wychodzące połączenia z portem SMTP (port 25).
Szyfrowanie SSL można uruchomić za pomocą komendy STARTTLS na poziomie SMTP, jeśli serwer obsługuje tę funkcję, a dostawca usług internetowych nie odfiltrowuje odpowiedzi EHLO serwera (zgłoszone w 2014 r . ) .

Port 25 jest wykorzystywany przez MTA do komunikacji MTA (serwer pocztowy do serwera pocztowego). Może być używany do komunikacji klient-serwer, ale obecnie nie jest najbardziej zalecany. Standardowy port SMTP przyjmuje wiadomości e-mail z innych serwerów pocztowych do swoich „wewnętrznych” skrzynek pocztowych bez uwierzytelniania .

AnFi
źródło
7
Standardowy port SMTP przyjmuje wiadomości e-mail z innego serwera pocztowego bez uwierzytelnienia - w rzeczywistości nie jest poprawny technicznie. Standardowy port 25 może przesyłać pocztę zarówno przy użyciu uwierzytelnienia, jak i niezależnie od konfiguracji MTA.
Ilia Rostovtsev,
2
@Ilia standardowy port SMTP normalnego MTA nie może odrzucać (wszystkich) nieuwierzytelnionych połączeń SMTP.
AnFi
1
Co powiesz na Postfix? Nie pozwala domyślnie przekazywać poczty, ale tylko w przypadku połączeń z tej samej sieci ?
Ilia Rostovtsev,
4
@Ilia Istnieje również poczta przychodząca do lokalnych domen e-mail.
AnFi
6
Należy pamiętać, że choć nieoficjalny, port 465 daje użytkownikowi końcowemu większą pewność, że naprawdę rozmawiają zaszyfrowanym kanałem. Port 587, przy czym TLS jest opcjonalny, oznacza, że ​​użytkownik końcowy może podawać swoje poświadczenia w niezaszyfrowanym kanale. Ponieważ klienci poczty e-mail są takimi, jakimi są, nie można zagwarantować, że MUA powiadomi nawet użytkownika, że ​​połączenie zostało obniżone.
sporker
132

587 vs. 465

Te przypisania portów są określone przez Internet Assigned Numbers Authority (IANA) :

  • Port 587 : [SMTP] Przesyłanie wiadomości (SMTP-MSA), usługa akceptująca wysyłanie wiadomości e-mail od klientów e-mail (MUA). Opisane w RFC 6409.
  • Port 465 : Katalog Rendezvous URL dla SSM (całkowicie niezwiązany z pocztą e-mail)

Historycznie, port 465 był początkowo planowany dla „opakowania” szyfrowania i uwierzytelniania SMTPS przez SMTP, ale szybko został wycofany (w ciągu miesięcy i ponad 15 lat temu) na korzyść STARTTLS przez SMTP (RFC 3207). Mimo to prawdopodobnie istnieje wiele serwerów obsługujących przestarzałe opakowanie protokołu, głównie w celu obsługi starszych klientów, którzy wdrożyli SMTPS. O ile nie potrzebujesz obsługi takich starszych klientów, SMTPS i jego użycie na porcie 465 powinny pozostać jedynie historycznym przypisem.

Beznadziejnie mylący i nieprecyzyjny termin, SSL , był często używany do wskazania opakowania SMTPS, a TLS do wskazania rozszerzenia protokołu STARTTLS .

Dla kompletności: Port 25

  • Port 25 : Simple Mail Transfer (SMTP-MTA), usługa, która akceptuje przesyłanie wiadomości e-mail z innych serwerów (MTA lub MSA). Opisane w RFC 5321.

Źródła:

Danorton
źródło
1
fajne wyjaśnienie techniczne, szukałem SSL kontra TLS.
Kiranking
11
SMTPS and its use on port 465 should remain nothing more than an historical footnote. Z wyjątkiem tego, że Gmail i większość innych dostawców poczty e-mail używa Port 465 dla SSL, czyli SMTPS. To rzeczywistość, która nigdzie się nie wybiera, bez względu na to, co określa IANA.
Eric J.,
6
@EricJ. ... Ale Gmail obsługuje również port 587. Czy wiesz, którego portu używa Google wewnętrznie? W przeciwnym razie fakt, że obsługują 465, nie jest tak naprawdę liczony jako dowód, że jest preferowany, a nawet szczególnie powszechnie używany.
Parthian Shot
2
Cóż, jesteśmy w 2018 roku i nie widzę, aby port stał się historią. 456wciąż używane przez dużych graczy. Ponadto edytowałbym swoją odpowiedź, aby odzwierciedlić, że IANA jest bałaganem, i nadal nie zgadzają się, czy powinni używać, 456czy nie - RFC 8314 tools.ietf.org/html/rfc8314#page-6 - When a TCP connection is established for the "submissions" service (default port 465), a TLS handshake begins immediately- Do tego dokumentu RFC odwołuje się twoja Link „Port 456” :) - data rejestracji: 12.12.2017
1
„Rendezvous” pisownia został skorygowany w iana.org
Arni
19

Prawidłowa odpowiedź na to pytanie została zmieniona przez publikację RFC 8314 . W rezultacie oba porty 465 i 587 są poprawnymi portami dla agenta przesyłania poczty (MSA). Port 465 wymaga negocjacji TLS / SSL podczas konfiguracji połączenia, a port 587 używa STARTTLS, jeśli ktoś zdecyduje się na negocjację TLS. Rejestr IANA został zaktualizowany, aby umożliwić legalne wykorzystanie portu 465 w tym celu. W przypadku przekazywania poczty używany jest tylko port 25, więc STARTTLS jest jedynym sposobem na wykonanie TLS z przekaźnikiem poczty. Pomocne jest myślenie o przekazywaniu i przekazywaniu poczty jako o dwóch bardzo różnych usługach (z wieloma różnicami w zachowaniu, takimi jak wymaganie uwierzytelnienia, różne limity czasu, różne reguły modyfikacji wiadomości itp.), Które korzystają z podobnego protokołu przewodowego.

Chris
źródło
Czy lepiej jest użyć portu 465 lub 587?
Aaron Franke
Jeśli korzystasz z publicznej usługi SMTP: obie są kompatybilne. Jeśli jest prywatny, wybierz Implicit TLS na 465, chyba że musisz obsługiwać klientów, którzy go nie obsługują. Dodatkowy fragment: „Aby jednak maksymalnie wykorzystać szyfrowanie do przesyłania, pożądane jest, aby obsługiwać oba mechanizmy przesyłania wiadomości przez TLS przez okres przejściowy kilku lat. W rezultacie klienci i serwery MUSZĄ wdrożyć oba STARTTLS na porcie 587 i Domniemany TLS na porcie 465 dla tego okresu przejściowego " tools.ietf.org/html/rfc8314#section-3.3
Alain O'Dea
4

Port 465: IANA przypisała nową usługę do tego portu i nie powinna już być używana do komunikacji SMTP.

Ponieważ jednak IANA uznała go kiedyś za prawidłowy, mogą istnieć starsze systemy, które mogą korzystać tylko z tej metody połączenia. Zazwyczaj ten port będzie używany tylko wtedy, gdy wymaga tego aplikacja. Szybkie wyszukiwanie w Google, a znajdziesz wiele artykułów konsumenckich ISP, które sugerują port 465 jako zalecaną konfigurację. Mam nadzieję, że wkrótce się to skończy! Nie jest zgodny z RFC.

Port 587: jest to domyślny port do przesyłania poczty. Gdy klient pocztowy lub serwer wysyła wiadomość e-mail do routingu przez właściwy serwer pocztowy, powinien zawsze używać tego portu.

Każdy powinien rozważyć użycie tego portu jako domyślnego, chyba że jesteś wyraźnie zablokowany przez twoją sieć upstream lub dostawcę hostingu. Port ten, w połączeniu z szyfrowaniem TLS, zapewni bezpieczne przesyłanie wiadomości e-mail i przestrzeganie wytycznych określonych przez IETF.

Port 25: Ten port jest nadal używany głównie do przekazywania SMTP. Przekazywanie SMTP to przekazywanie wiadomości e-mail z serwera e-mail na serwer e-mail.

W większości przypadków nowi klienci SMTP (Outlook, Mail, Thunderbird itp.) Nie powinni korzystać z tego portu. Tradycyjnie jest blokowany przez prywatnych dostawców usług internetowych i dostawców hostingu w chmurze, aby ograniczyć ilość spamu przesyłanego z zainfekowanych komputerów lub serwerów. O ile nie zarządzasz konkretnie serwerem pocztowym, nie powinieneś mieć ruchu przechodzącego przez ten port na komputerze lub serwerze.

Sameer S.
źródło
1

Nie chcę wymieniać nazwisk, ale ktoś wydaje się całkowicie niesłuszny. Przywoływany organ normalizacyjny stwierdził, co następuje: zgłoszenia 465 tcp Zgłoszenie wiadomości za pośrednictwem protokołu TLS [IESG] [IETF_Chair] 12.12.2017 [RFC8314]

Jeśli masz takie skłonności, możesz przeczytać odniesienie do RFC.

Wydaje się to wyraźnie sugerować, że port 465 jest najlepszym sposobem na wymuszenie szyfrowanej komunikacji i upewnienie się, że jest na miejscu. Port 587 nie oferuje takiej gwarancji.

Poszukiwacz
źródło
Dlaczego lepiej jest używać portu 465?
Aaron Franke
1

Cały czas używam portu 465.

Odpowiedź przez danorton jest nieaktualne. Jak twierdzą on i Wikipedia , port 465 był początkowo planowany do szyfrowania SMTPS i szybko przestał obowiązywać 15 lat temu. Jednak wielu dostawców usług internetowych nadal korzysta z portu 465, zwłaszcza w celu zachowania zgodności z aktualnymi zaleceniami RFC 8314 , która zachęca do korzystania z niejawnego TLS zamiast korzystania z komendy STARTTLS z portem 587. (Patrz sekcja 3.3 ). Korzystanie z portu 465 jest jedynym sposobem na rozpoczęcie niejawnie bezpiecznej sesji z serwerem SMTP, który działa jako agent przesyłania wiadomości (MSA).

Zasadniczo RFC 8314 zaleca, aby porzucić wymianę wiadomości e-mail w postaci czystego tekstu i aby wszystkie trzy wspólne protokoły pocztowe IETF były używane tylko w niejawnych sesjach TLS, aby zachować spójność, gdy jest to możliwe. Zalecane bezpieczne porty to odpowiednio 465, 993 i 995 dla SMTPS, IMAP4S i POP3S.

Chociaż RFC 8314 z pewnością pozwala na dalsze korzystanie z jawnego TLS z portem 587 i komendą STARTTLS, to jednak otwiera agenta użytkownika poczty (MUA, klient poczty) na atak obniżenia poziomu, w którym man-in-the-środek przechwytuje STARTTLS żądanie aktualizacji do TLS, ale odmawia, zmuszając w ten sposób sesję do pozostania czystym tekstem.

HJJ
źródło
4
On ma rację. Tylko dlatego, że dostawcy usług internetowych nadużywają go i nie zaktualizowali swojej dokumentacji, nie powoduje to nieprawidłowości. Nie powiedział, że nie jest używany - po prostu dlatego, że nie jest to praktyka zgodna z RFC. Innymi słowy, powinieneś używać 25 i 587 z pocztą e-mail, a używać 465 tylko z jakiegoś powodu.
dodexahedron