web-dev-qa-db-ja.com

Postfix smtpsと送信の混乱

メールクライアントが送信メールにポート465(smtps)を使用するようにpostfixを設定しました。 smtps(ポート465)と送信(ポート587)の違いを本当に理解していません

クライアントがメールを安全に送信するようにpostfixを構成するときの「ベストプラクティス」は何ですか? smtpsを使用するだけですか?または、submissionとsmtpsの両方を使用しますか?

postfixsmtps
13
Aditya K

SSLで保護されたSMTP接続にポート465が使用されました。ただし、SMTPにそのポートを使用することは、STARTTLSの可用性により廃止されました: "smtps TCPポートの取り消し" 最近、 SMTPSにポート465を使用しないでください。代わりに、他のサーバーからドメインのメールを受信する場合はポート25を使用し、サーバーから他のドメイン、つまり他のサーバーにメールを送信する必要があるクライアントから電子メールを受信する場合はポート587を使用します。

ただし、追加の注記として、ポート587はメール送信専用です。メール送信は、メッセージを変更したり、認証を提供したりするように設計されています。

  • メールを送信しようとするクライアントに認証を提供および要求する
  • 迷惑メール(スパム)や感染メール(ウイルスなど)の送信を防ぐためのセキュリティメカニズムの提供
  • 組織のニーズに合わせてメールを変更する(from部分の書き換えなど)

ポート587への送信はSTARTTLSをサポートすることになっているため、暗号化できます。 RFC#6409 もご覧ください。

21
liquidat

TL; DR

新しい推奨事項は、STARTTLSでsubmissions/smtpssubmissionの両方をサポートすることです当面は、使用されなくなると段階的に廃止されます。 (同じ推奨事項がPOP3とPOP3S、IMAPとIMAPSにも適用されます。)

細部

RFC 8314セクション3.3 でベストプラクティスが変更されました:

TCP接続が "submissions"サービス(デフォルトポート465)に対して確立されると、TLSハンドシェイクがすぐに開始されます。[…]

ポート587のSTARTTLSメカニズムは、ポート465の状況(7.3で説明)のため、比較的広く展開されています。これは、暗黙のTLSがSTARTTLSよりもサーバーに広く展開されているIMAPおよびPOPサービスとは異なります。 MUAソフトウェアで使用されるコアプロトコルを時間の経過とともに暗黙のTLSに移行することは、一貫性と 付録A で説明されている追加の理由のために望ましいです。ただし、送信に暗号化を最大限に使用するには、数年間の移行期間でTLSを介したメッセージ送信の両方のメカニズムをサポートすることが望ましいです。その結果、クライアントとサーバーは、この移行期間でポート587にSTARTTLSを実装し、ポート465に暗黙TLSを実装する必要があります(SHOULD)。実装が正しく、クライアントとサーバーの両方がメッセージ送信の前にTLSの正常なネゴシエーションを要求するように構成されている場合、ポート587のSTARTTLSとポート465の暗黙のTLSのセキュリティプロパティに大きな違いはないことに注意してください。

次に、引用された 付録A は、SMTP、POP3、およびIMAPのすべてに暗黙のTLSを優先するという決定について詳しく説明します。

  1. onlyとにかくどこでも暗号化された接続を保持したいので、実際にはその互換性があるときに、これらのすべてのプロトコルの下位互換性のあるバージョンを維持しても意味がありません使用されていません
  2. いくつかの実装で同一の問題があるため、STARTTLSネゴシエーションフェーズの悪用がありました
2
ntninja