smtps ของ Postfix และความสับสนในการส่ง

13

ฉันตั้งค่า postfix เพื่อให้ไคลเอนต์อีเมลใช้พอร์ต 465 (smtps) สำหรับเมลขาออก ฉันไม่เข้าใจความแตกต่างระหว่าง smtps (พอร์ต 465) และการส่ง (พอร์ต 587)

'แนวปฏิบัติที่ดีที่สุด' เมื่อกำหนดค่า postfix สำหรับลูกค้าเพื่อส่งจดหมายอย่างปลอดภัยคืออะไร เพียงใช้ smtps หรือใช้ทั้งการส่งและ smtps

postfix  smtps 
Aditya K
แหล่งที่มา

คำตอบ:

21

ใช้พอร์ต 465 สำหรับการเชื่อมต่อ SMTP ที่ปลอดภัยโดย SSL อย่างไรก็ตามการใช้พอร์ตนั้นสำหรับ SMTP นั้นเลิกใช้แล้วด้วยความพร้อมใช้งานของ STARTTLS: "การเพิกถอน smtps TCP พอร์ต"วันนี้คุณไม่ควรใช้พอร์ต 465 สำหรับ SMTPS อีกต่อไป ใช้พอร์ต 25 แทนการรับอีเมลสำหรับโดเมนของคุณจากเซิร์ฟเวอร์อื่นหรือพอร์ต 587 เพื่อรับอีเมลจากไคลเอนต์ซึ่งจำเป็นต้องส่งอีเมลผ่านเซิร์ฟเวอร์ของคุณไปยังโดเมนอื่นและเซิร์ฟเวอร์อื่น ๆ

ในฐานะที่เป็นบันทึกเพิ่มเติมอย่างไรก็ตามพอร์ต 587 มีไว้สำหรับการส่งเมล - และการส่งเมลได้รับการออกแบบเพื่อแก้ไขข้อความและ / หรือให้การตรวจสอบสิทธิ์:

  • การเสนอและต้องการการรับรองความถูกต้องสำหรับลูกค้าที่พยายามส่งอีเมล
  • จัดเตรียมกลไกความปลอดภัยเพื่อป้องกันการส่งจดหมายขยะ (สแปม) หรืออีเมลที่ติดเชื้อ (ไวรัส ฯลฯ ) ที่ไม่พึงประสงค์
  • ปรับเปลี่ยนเมลตามความต้องการขององค์กร (เขียนใหม่จากส่วนอื่น ๆ )

การส่งไปที่พอร์ต 587 ควรสนับสนุน STARTTLS และสามารถเข้ารหัสได้ ดูRFC # 6409ด้วย

liquidat
แหล่งที่มา
ขอบคุณสำหรับคำตอบของคุณฉันประสบความสำเร็จในการตั้งค่าการส่งด้วย postfix และสิ่งต่าง ๆ ที่ชัดเจนสำหรับฉันตอนนี้ :-)
Aditya K
คุณยินดี =)
liquidat
1
การรับส่งข้อมูลบนพอร์ต 465 ถูกเข้ารหัสอย่างสมบูรณ์ เมื่อคุณใช้ไคลเอนต์ starttls สามารถป้อนในการส่งที่ปลอดภัยและออกจากมันส่งข้อมูลโดยไม่มีการเข้ารหัส serverfault.com/q/523804/201912
QkiZ
2

TL; DR

คำแนะนำใหม่คือการสนับสนุนทั้งการส่ง / smtpsและการส่งด้วย STARTTLS ในขณะนั้นซึ่งจะยกเลิกในภายหลังเมื่อไม่ได้ใช้อีกต่อไป (คำแนะนำเดียวกันนี้ยังใช้กับ POP3 กับ POP3S และ IMAP เทียบกับ IMAPS)

รายละเอียด

แนวปฏิบัติที่ดีที่สุดได้เปลี่ยนไปด้วยRFC 8314 ตอนที่ 3.3 :

เมื่อสร้างการเชื่อมต่อ TCP สำหรับบริการ "ส่งข้อมูล" (พอร์ตเริ่มต้น 465) การจับมือ TLS จะเริ่มขึ้นทันที [ ... ]

กลไก STARTTLS บนพอร์ต 587 มีการปรับใช้อย่างกว้างขวางเนื่องจากสถานการณ์ที่มีพอร์ต 465 (กล่าวถึงในหัวข้อ 7.3) สิ่งนี้แตกต่างจากบริการ IMAP และ POP ที่มีการปรับใช้ TLS โดยนัยบนเซิร์ฟเวอร์มากกว่า STARTTLS เป็นที่พึงประสงค์โปรโตคอลหลักโยกย้ายใช้โดยซอฟต์แวร์ทบวงการ TLS โดยปริยายเมื่อเวลาผ่านไปเพื่อความมั่นคงเช่นเดียวกับเหตุผลเพิ่มเติมที่กล่าวถึงใน ภาคผนวก A อย่างไรก็ตามเพื่อเพิ่มการใช้การเข้ารหัสสำหรับการส่งให้มากที่สุดเป็นที่พึงปรารถนาที่จะสนับสนุนกลไกทั้งสองสำหรับการส่งข้อความผ่าน TLS สำหรับช่วงการเปลี่ยนภาพเป็นเวลาหลายปี ดังนั้นลูกค้าและเซิร์ฟเวอร์ควรใช้ทั้ง STARTTLS บนพอร์ต 587 และ TLS โดยนัยบนพอร์ต 465 สำหรับช่วงการเปลี่ยนภาพนี้. โปรดทราบว่าไม่มีความแตกต่างอย่างมีนัยสำคัญระหว่างคุณสมบัติความปลอดภัยของ STARTTLS บนพอร์ต 587 และ TLS โดยนัยบนพอร์ต 465 หากการนำไปใช้งานนั้นถูกต้องและหากไคลเอ็นต์และเซิร์ฟเวอร์ได้รับการกำหนดค่าให้ต้องมีการเจรจาต่อรองที่ประสบความสำเร็จก่อนส่งข้อความ

ภาคผนวก A ที่อ้างถึงนั้นจะอธิบายการตัดสินใจเลือก TLS โดยนัยสำหรับ SMTP, POP3 และ IMAP ทั้งหมดเนื่องจากประเด็นหลักเหล่านี้

  1. เราต้องการที่จะมีเพียงการเชื่อมต่อได้ทุกที่ที่มีการเข้ารหัส anyways จึงมีจุดในการรักษารุ่นย้อนกลับเข้ากันของโปรโตคอลทั้งหมดเหล่านี้เมื่อในทางปฏิบัติที่เข้ากันไม่ได้ใช้
  2. มีการใช้ประโยชน์จากขั้นตอนการเจรจาของ STARTTLS เนื่องจากมีปัญหาที่เหมือนกันในการใช้งานหลายอย่าง
ntninja
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.