حول المنافذ والتشفير في خوادم البريد

عند تكوين خادم البريد الصادر على عميل البريد ، سترى 3 خيارات للتشفير - بدون تشفير ، SMTPS و STARTTLS ، بالإضافة إلى 3 منافذ محتملة - 25 ، 465 ، 587. ماذا تختار وماذا - دعنا نفهم.

فيديو

السابق < أوضاع تشغيل خادم البريد
التالي> سجلات DNS لخوادم البريد


عند إرسال رسالة إلى شخص ما ، يستخدم عميل البريد الخاص بك ESMTP لإرسال هذه الرسالة ، ثم يستخدم خادم البريد الخاص بك نفس البروتوكول إذا كان يحتاج إلى إرسال هذه الرسالة إلى آخر الخادم. وبينما يتحدث الجميع ويكتبون بروتوكول SMTP ، فإنه عادة ما يكون حول ESMTP - نفس بروتوكول SMTP ، ولكن مع مجموعة من الإضافات ، مثل التفويض والتشفير. نعم ، بمجرد أن SMTP لا يدعم حتى التفويض.



الآن القليل عن SMTPS. بمجرد أن أصبح الإنترنت بسيطًا جدًا ، تم نقل كل شيء فيه بنص واضح. ثم جاءت بروتوكولات التشفير ، نفس SSL. والخدمات التي نقلت المعلومات سابقًا في شكل مفتوح ، بدأت في التفاف حركة المرور في SSL.



ولكن القيام بذلك على نفس المنافذ القياسية لم يكن سهلاً - يجب أن يوافق العميل والخادم على طريقة تشفير ، ولكي تعمل خدمة على منفذ واحد في وقت واحد للبعض مع التشفير ، وبالنسبة للآخرين بدون - يتطلب الأمر تغييرات في البروتوكولات. ومن أجل عدم تعقيد كل شيء ، بدأوا في نحت منافذ منفصلة للاتصالات المشفرة - هكذا ظهرت 443 لـ HTTPS و 465 لـ SMTPS. لكننا أدركنا ذلك الآن - هناك عدد قليل من المنافذ المخصصة ، وعدد الخدمات ينمو ، وإذا كان كل واحد منهم سيستخدم عدة منافذ مع تشفير وبدون تشفير لأغراضه - مشكلة.



وفي النهاية ، قرروا تعديل البروتوكولات قليلاً. في بعض الحالات ، لم يعمل هذا بشكل جيد للغاية ، على سبيل المثال ، لـ HTTP ، وفي حالة SMTP ، اتضح أنه خيار مناسب تمامًا. لهذا ، تمت إضافة ملحق STARTTLS إلى SMTP. بشكل عام ، لا يتم استخدام ملحق STARTTLS فقط لـ SMTP ، بشكل عام فهو أمر لبدء مفاوضات التشفير. على عكس SMTPS ، الذي يستخدم منفذًا مخصصًا 465 ويقوم بتشفير الاتصال على الفور ، فإن STARTTLS هو مجرد امتداد لـ SMTP ، مما يعني أن الجلسة تبدأ كجلسة SMTP عادية. ترحب خوادم البريد ببعضها البعض ، ثم تعرض بدء التشفير وتحديد بروتوكولات التشفير المتاحة.



ونتيجة لذلك ، مع ظهور STARTTLS من المعايير ، قرروا إزالة SMTPS على المنفذ 465 كخدمة منفصلة. قاموا بإزالتها من المعايير ، لكن الخدمة بقيت ، ولا تزال قيد الاستخدام. بالنسبة للتشفير ، ما زلت أصنع موضوعًا منفصلاً ، ولكن الآن لنتحدث عن STARTTLS.



قلت في وقت سابق أنه مع STARTTLS ، تقوم خوادم البريد أو العميل / الخادم بفتح اتصال بدون تشفير ، ثم الموافقة على التشفير. يستخدمون نفس SSL / TLS للتشفير. ولكن ماذا لو لم يوافقوا؟ اتضح أنهم سيتواصلون في شكل غير مشفر؟ على شبكة الاتصال العالمية؟ وفي الوقت نفسه ، يوافقون دون أي تشفير ، وبالتالي خداع الخادم أو العميل بسهولة بسبب عدم وجود طرق التشفير المتاحة. وفي وقت ما قبضوا على أحد مقدمي الخدمة في مثل هذا الهجوم. ثم تحتاج إلى مثل هذا التشفير ، تسأل. ليس كل شيء ميؤوس منه. في الواقع ، يمكن للمسؤول تعطيل القدرة على إرسال البريد إذا لم يكن من الممكن الموافقة على التشفير ، ويطلب من عملاء البريد التحذير من أن الخادم لا يدعم التشفير.



وهكذا ، اكتشفنا أن هناك SMTP يعمل على المنفذ 25 ، وهناك SMTPS يعمل على 465 ، ولكن هناك منفذ آخر - 587 ، والذي يستخدم أيضًا من قبل خادم البريد.



كما لاحظت ، يتصل عملاء البريد الإلكتروني بالخوادم عبر SMTP. وخوادم البريد تتصل ببعضها البعض عبر SMTP أيضًا. قلت أيضًا في الجزء الأخير أن هناك مثل هذه الخوادم - مضيفو التتابع الذين يعيدون توجيه البريد. لأسباب معينة ، معظمها بشرية ، هناك مضيفو ترحيل على الإنترنت يسمحون للمستخدمين غير المصرح لهم بإعادة توجيه الرسائل من أي عنوان. ويظهر هؤلاء المضيفون في كل مرة عندما يرفع مشرف مهمل خادم البريد ، وهذا يحدث غالبًا. ونتيجة لذلك ، يرفع مجرمو الإنترنت خوادم مؤقتة أو يصيبون أجهزة الكمبيوتر الخاصة بالمستخدمين الذين يرسلون رسائل غير مرغوب فيها من خلال مضيفي الترحيل بدون إذن.



ونتيجة لذلك ، يحظر بعض موفري الإنترنت أي اتصالات للمستخدم بالمنفذ 25.



هذا المنفذ مفتوح بين الخوادم على الإنترنت ، لكنهم قدموا خدمة منفصلة للمستخدمين - MSA (وكيل إرسال الرسائل - وكيل الإرسال) ، وبالتالي فصل اتصالات المستخدم من ربط الخوادم التي لا تزال تتواصل عبر MTA. بشكل عام ، يعمل MSA حتى على المنفذ 25 ، ولكن المنفذ الرسمي له هو 587. فما الذي يمنع مرسلي البريد العشوائي من استخدام هذا المنفذ؟ حقيقة أن MSA ، كقاعدة عامة ، يتطلب إذن المستخدم. ليس هذا هو السبب الوحيد لوجود MSA - نظرًا لأنه يعمل مع عملاء البريد الإلكتروني ، فهو محسن بشكل أفضل لعمل العملاء - فهو يحذر على الفور من أي أخطاء في الرسائل ، على سبيل المثال ، عدم وجود عنوان مجال المستلم.



وأخيرًا ، دعنا نتابع عملية إرسال رسالة بريد إلكتروني. للقيام بذلك ، استخدم wireshark وعميل بريد إلكتروني وحساب gmail. يبدأ كل شيء بمصافحة TCP القياسية ، وبعد ذلك تبدأ جلسة SMTP. خلال الجلسة ، يرحب عميل البريد والخادم ببعضهما البعض ، وبعد ذلك يعرض عميل البريد تشفير الجلسة ، يوافق الخادم ، وبعد ذلك يتم تبادل المفاتيح وتبدأ جلسة TLSv1.3 ، وبعد ذلك يقوم العميل بتسجيل الدخول مشفرًا ويرسل رسالة غير مرئية لمعترض حركة المرور.