В чем разница между портами 465 и 587?

245

Эти порты 465 и 587 оба используются для отправки почты (отправки почты), но какова реальная разница между ними?

email smtp port postfix-mta email-client Илья Ростовцев
источник
1
Разница лишь в формализованных стандартах, а порт 465 предназначен для устаревшей поддержки?
Илья Ростовцев
Реестр номеров портов имени службы и транспортного протокола iana - это официальное руководство по рекомендуемому использованию портов; использование 465 для SMTP через SSL является неофициальным. Читайте о портах в SMTP . Официальное использование iana не всегда одинаково для транспортных протоколов TCP и UDP. Примечание: если вы являетесь администратором SMTP- сервера , ВЫ сами контролируете, какие порты будут использоваться; если вы клиент , вы получаете только доступные вам порты.
gerryLowry
связанные: stackoverflow.com/questions/3484947/…
Сиро Сантилли 郝海东 冠状 病 六四 事件 法轮功
связанные: fastmail.com/help/technical/ssltlsstarttls.html
Рик

Ответы:

235

Протокол SMTP: smtps (порт 465) v. Msa (порт 587)

Порты 465 и 587 предназначены для связи между почтовым клиентом и почтовым сервером - отправкой электронной почты по протоколу SMTP.

Порт 465 предназначен для smtps.
SSL-шифрование запускается автоматически перед любой передачей данных на уровне SMTP.

Порт 587 предназначен для msa.
Это почти как стандартный порт SMTP. MSA должен принимать электронную почту после аутентификации (например, после SMTP AUTH). Это помогает остановить исходящий спам, когда сетевые мастера диапазонов DUL могут блокировать исходящие подключения к порту SMTP (порт 25).
Шифрование SSL может быть запущено командой STARTTLS на уровне SMTP, если сервер поддерживает его, и ваш провайдер не фильтрует ответ EHLO сервера (сообщается в 2014 году) .

Порт 25 используется MTA для связи MTA (почтовый сервер к почтовому серверу). Он может использоваться для связи между клиентом и сервером, но в настоящее время он не является наиболее рекомендуемым. Стандартный SMTP- порт принимает почту от других почтовых серверов на свои «внутренние» почтовые ящики без аутентификации .

Анфи
источник
7
Стандартный SMTP-порт принимает почту от другого почтового сервера без аутентификации - на самом деле это технически неверно. Стандартный 25 порт может передавать почту как с использованием аутентификации, так и не в зависимости от конфигурации MTA.
Илья Ростовцев
2
@ Стандартный порт SMTP обычного MTA не может отклонить (все) SMTP-соединения, не прошедшие проверку подлинности.
AnFi
1
Как насчет Postfix? Это не позволяет ретранслировать почту по умолчанию, но только для соединений из той же сети ?
Илья Ростовцев
4
@ Илья Существует также входящая почта на локальные почтовые домены.
AnFi
6
Обратите внимание: неофициальный порт 465 дает конечному пользователю больше уверенности в том, что он действительно общается по зашифрованному каналу. Порт 587 с опциональным TLS означает, что конечный пользователь может предоставлять свои учетные данные по незашифрованному каналу. Поскольку почтовые клиенты являются тем, кем они являются, вы не можете гарантировать, что MUA даже предупредит пользователя о том, что соединение было разорвано.
Споркер
132

587 против 465

Эти назначения портов определяются Управлением по присвоению номеров в Интернете (IANA) :

  • Порт 587 : [SMTP] Отправка сообщения (SMTP-MSA), услуга, которая принимает отправку электронной почты от почтовых клиентов (MUA). Описано в RFC 6409.
  • Порт 465 : URL Rendezvous Справочник для SSM (полностью не связан с электронной почтой)

Исторически порт 465 изначально планировался для « оболочки» шифрования и аутентификации SMTPS через SMTP, но он быстро устарел (в течение месяцев и более 15 лет назад) в пользу STARTTLS поверх SMTP (RFC 3207). Несмотря на это, вероятно, существует много серверов, которые поддерживают устаревшую оболочку протокола, в первую очередь для поддержки старых клиентов, которые внедрили SMTPS. Если вам не требуется поддержка таких старых клиентов, SMTPS и его использование на порту 465 должны оставаться не более чем исторической сноской.

Безнадежно запутанный и неточный термин, SSL , часто использовался для обозначения оболочки SMTPS, а TLS - для расширения протокола STARTTLS .

Для полноты: порт 25

  • Порт 25 : Простая передача почты (SMTP-MTA), услуга, которая принимает отправку электронной почты с других серверов (MTA или MSA). Описано в RFC 5321.

Источники:

danorton
источник
1
хорошее техническое объяснение, искал SSL против TLS.
kiranking
11
SMTPS and its use on port 465 should remain nothing more than an historical footnote. За исключением того, что Gmail и большинство других провайдеров электронной почты используют порт 465 для SSL или SMTPS. Это реальность, которая никуда не денется, независимо от того, что указано в IANA.
Эрик Дж.
6
@EricJ. ... но gmail также поддерживает порт 587. Знаете ли вы, какой порт Google использует внутри компании? В противном случае тот факт, что они поддерживают 465, на самом деле не считается доказательством того, что он предпочитается или даже особенно широко используется.
Парфянский выстрел
2
Ну, мы находимся в 2018 году, и я не вижу, чтобы порт стал историей. 456все еще используется крупными игроками. Кроме того, я бы отредактировал свой ответ, чтобы отразить, что IANA является беспорядком, и они все еще не согласны с тем, должны ли они использовать 456- RFC 8314 tools.ietf.org/html/rfc8314#page-6 - When a TCP connection is established for the "submissions" service (default port 465), a TLS handshake begins immediately- На этот RFC ссылаются ваши Ссылка «Порт 456» :) - дата регистрации: 2017-12-12
1
На iana.org
Арни
19

Правильный ответ на этот вопрос был изменен публикацией RFC 8314 . В результате порты 465 и 587 являются действительными портами для агента отправки почты (MSA). Порт 465 требует согласования TLS / SSL при настройке соединения, а порт 587 использует STARTTLS, если выбирается согласование TLS. Реестр IANA был обновлен, чтобы разрешить законное использование порта 465 для этой цели. Для ретрансляции почты используется только порт 25, поэтому STARTTLS - единственный способ сделать TLS с ретрансляцией почты. Полезно рассматривать ретрансляцию почты и отправку почты как две совершенно разные службы (со многими различиями в поведении, такими как требование аутентификации, разные тайм-ауты, разные правила модификации сообщений и т. Д.), Которые используют аналогичный проводной протокол.

Крис
источник
Лучше использовать порт 465 или 587?
Аарон Франке
Если вы используете публичный SMTP-сервис: оба для совместимости. Если это частный, предпочтите Implicit TLS на 465, если вы не должны поддерживать клиентов, которые его не поддерживают. Поддерживающая выдержка: «Однако, чтобы максимально использовать шифрование для отправки, желательно поддерживать оба механизма для отправки сообщений по TLS в течение переходного периода в несколько лет. В результате клиенты и серверы ДОЛЖНЫ реализовать оба STARTTLS на порту 587 и Неявный TLS на порту 465 для этого переходного периода " tools.ietf.org/html/rfc8314#section-3.3
Ален О'Ди
4

Порт 465: IANA переназначил новую услугу этому порту, и он больше не должен использоваться для связи SMTP.

Однако, поскольку IANA однажды признала его действительным, могут существовать устаревшие системы, которые могут использовать только этот метод подключения. Как правило, вы будете использовать этот порт, только если ваше приложение этого требует. Быстрый поиск в Google, и вы найдете множество статей для интернет-провайдеров, предлагающих порт 465 в качестве рекомендуемой настройки. Надеюсь, это скоро закончится! Это не соответствует RFC.

Порт 587: это порт отправки почты по умолчанию. Когда почтовый клиент или сервер отправляет электронную почту для маршрутизации соответствующим почтовым сервером, он всегда должен использовать этот порт.

Каждый должен использовать этот порт по умолчанию, если только вы явно не заблокированы вышестоящей сетью или хостинг-провайдером. Этот порт в сочетании с шифрованием TLS обеспечит безопасную отправку электронной почты в соответствии с рекомендациями IETF.

Порт 25: Этот порт продолжает использоваться в основном для ретрансляции SMTP. SMTP ретрансляция - это передача электронной почты с почтового сервера на почтовый сервер.

В большинстве случаев современные SMTP-клиенты (Outlook, Mail, Thunderbird и т. Д.) Не должны использовать этот порт. Жилищные интернет-провайдеры и провайдеры облачного хостинга традиционно блокируют ограничение количества спама, передаваемого с скомпрометированных компьютеров или серверов. Если вы специально не управляете почтовым сервером, у вас не должно быть трафика, проходящего через этот порт на вашем компьютере или сервере.

Самер С
источник
1

Я не хочу называть имена, но кто-то, кажется, совершенно неправ. Упомянутый орган по стандартизации заявил следующее: подчинение 465 Протокол передачи tcp по протоколу TLS [IESG] [IETF_Chair] 2017-12-12 [RFC8314]

Если вы так склонны, вы можете прочитать RFC, на который ссылаются.

Кажется, это явно подразумевает, что порт 465 является наилучшим способом форсировать шифрованную связь и быть уверенным, что он на месте. Порт 587 не дает такой гарантии.

искатель
источник
Почему лучше использовать порт 465?
Аарон Франке
1

Я использую порт 465 все время.

Ответ на danorton устарел. Как он и Википедия говорят, порт 465 изначально планировался для шифрования SMTPS и быстро устарел 15 лет назад. Но многие интернет-провайдеры все еще используют порт 465, особенно в соответствии с текущими рекомендациями RFC 8314 , который поощряет использование неявного TLS вместо использования команды STARTTLS с портом 587. (См. Раздел 3.3 ). Использование порта 465 - это единственный способ начать неявно безопасный сеанс с SMTP-сервером, действующим в качестве агента отправки почты (MSA).

По сути, RFC 8314 рекомендует отказаться от обмена сообщениями электронной почты в открытом тексте и чтобы все три распространенных почтовых протокола IETF использовались только в неявных сеансах TLS для обеспечения согласованности, когда это возможно. Рекомендуемые безопасные порты - 465, 993 и 995 для SMTPS, IMAP4S и POP3S соответственно.

Хотя RFC 8314, безусловно, допускает дальнейшее использование явного TLS с портом 587 и команды STARTTLS, это открывает почтовый агент пользователя (MUA, почтовый клиент) для атаки понижения, когда человек посередине перехватывает STARTTLS. запросить обновление до уровня безопасности TLS, но отклоняет его, что вынуждает сеанс оставаться открытым текстом.

HJJ
источник
4
Он прав. Тот факт, что интернет-провайдеры злоупотребляют им и не обновляют свою документацию, не делает ее неверной. Он не сказал, что он не используется - просто это не практика, которая следует RFC. Другими словами, вы должны использовать 25 и 587 с электронной почтой, и только 465 использовать, если у вас есть, по какой-то причине.
додексаэдр