Informationen zu Ports und Verschlüsselung in Mailservern

Bei der Konfiguration des Postausgangsservers auf dem E-Mail-Client sehen Sie 3 Optionen für die Verschlüsselung - ohne Verschlüsselung, SMTPS und STARTTLS sowie 3 mögliche Ports - 25, 465, 587. Was ist zu wählen und wofür?

Video

Zurück < Mail-Server-Betriebsmodi
Weiter> DNS-Einträge für Mail-Server


Wenn Sie eine Nachricht an jemanden senden, verwendet Ihr Mail-Client ESMTP, um diese Nachricht zu senden, und Ihr Mail-Server verwendet dasselbe Protokoll, wenn er diese Nachricht an einen anderen senden muss Server. Und während alle SMTP sprechen und schreiben, handelt es sich normalerweise um ESMTP - dasselbe SMTP, jedoch mit einer Reihe von Erweiterungen wie Autorisierung und Verschlüsselung. Ja, sobald SMTP nicht einmal die Autorisierung unterstützte.



Nun ein wenig zu SMTPS. Einmal war das Internet so einfach, dass alles darin im Klartext übertragen wurde. Dann kamen kryptografische Verschlüsselungsprotokolle, das gleiche SSL. Und Dienste, die zuvor Informationen in offener Form übertragen hatten, begannen, den Verkehr in SSL zu verpacken.



Es war jedoch nicht einfach, dies an denselben Standardports zu tun. Client und Server müssen sich auf eine Verschlüsselungsmethode einigen, und damit ein Dienst an einem Port für einige mit und ohne Verschlüsselung gleichzeitig funktioniert, müssen die Protokolle geändert werden. Und um nicht alles zu komplizieren, begannen sie, separate Ports für verschlüsselte Verbindungen zu formen - so erschienen 443 für HTTPS und 465 für SMTPS. Aber wir haben es gerade erkannt - es gibt nur wenige dedizierte Ports, die Anzahl der Dienste wächst und wenn jeder von ihnen mehrere Ports mit Verschlüsselung und ohne Verschlüsselung für ihre Zwecke verwendet - Probleme.



Und am Ende beschlossen sie, die Protokolle ein wenig zu ändern. In einigen Fällen funktionierte dies nicht sehr gut, beispielsweise für HTTP, und im Fall von SMTP erwies es sich als perfekt geeignete Option. Zu diesem Zweck wurde SMTP die STARTTLS-Erweiterung hinzugefügt. Im Allgemeinen wird die STARTTLS-Erweiterung nicht nur für SMTP verwendet, sondern ist im Allgemeinen ein Befehl zum Starten von Verschlüsselungsverhandlungen. Im Gegensatz zu SMTPS, das einen dedizierten Port 465 verwendet und die Verbindung sofort verschlüsselt, ist STARTTLS nur eine Erweiterung für SMTP, was bedeutet, dass die Sitzung als reguläre SMTP-Sitzung initiiert wird. Mailserver begrüßen sich gegenseitig und bieten dann an, mit der Verschlüsselung zu beginnen und die verfügbaren kryptografischen Protokolle auszuwählen.



Infolgedessen beschlossen sie mit dem Aufkommen von STARTTLS aus den Standards, SMTPS auf Port 465 als separaten Dienst zu entfernen. Sie haben es aus den Standards entfernt, aber der Dienst blieb und wird immer noch verwendet. In Bezug auf die Verschlüsselung werde ich noch ein separates Thema erstellen, aber jetzt wollen wir über STARTTLS sprechen.



Ich habe vorhin gesagt, dass mit STARTTLS Mailserver oder ein Client / Server eine Verbindung ohne Verschlüsselung öffnen und sich dann auf die Verschlüsselung einigen. Sie verwenden dasselbe SSL / TLS für die Verschlüsselung. Aber was ist, wenn sie sich nicht einigen können? Es stellt sich heraus, dass sie in unverschlüsselter Form kommunizieren werden? Im Internet? In der Zwischenzeit stimmen sie ohne Verschlüsselung zu, wodurch der Server oder Client leicht durch das Fehlen verfügbarer Verschlüsselungsmethoden getäuscht wird. Und einmal haben sie einen der Anbieter bei einem solchen Angriff erwischt. Und dann brauchen Sie eine solche Verschlüsselung, fragen Sie. Nicht alles ist so hoffnungslos. Tatsächlich kann der Administrator die Möglichkeit zum Senden von E-Mails deaktivieren, wenn keine Einigung über die Verschlüsselung erzielt werden kann, und E-Mail-Clients müssen warnen, dass der Server die Verschlüsselung nicht unterstützt.



Wir haben also herausgefunden, dass es SMTP gibt, das auf Port 25 funktioniert, es gibt SMTPS, das auf 465 funktioniert, aber es gibt einen anderen Port - 587, der auch vom Mailserver verwendet wird.



Wie Sie bemerkt haben, stellen E-Mail-Clients über SMTP eine Verbindung zu Servern her. Mail-Server stellen auch über SMTP eine Verbindung her. Ich habe im letzten Teil auch gesagt, dass es solche Server gibt - Relay-Hosts, die E-Mails weiterleiten. Aus bestimmten, meist menschlichen Gründen gibt es im Internet Relay-Hosts, mit denen nicht autorisierte Benutzer Nachrichten von einer beliebigen Adresse umleiten können. Und diese Hosts erscheinen jedes Mal, wenn ein fahrlässiger Administrator den Mailserver hochfährt, und dies passiert häufig. Infolgedessen erheben Cyberkriminelle temporäre Server oder infizieren Computer von Benutzern, die ohne Autorisierung Spam über diese Relay-Hosts senden.



Infolgedessen blockieren einige Internetanbieter alle Benutzerverbindungen zu Port 25.



Dieser Port ist zwischen Servern im Internet geöffnet, sie haben jedoch einen separaten Dienst für Benutzer erstellt - MSA (Message Submission Agent - Sende Agent), wodurch Benutzerverbindungen von Serververbindungen getrennt werden, die weiterhin über MTA kommunizieren. Im Allgemeinen funktioniert MSA sogar auf Port 25, aber der offizielle Port dafür ist 587. Was hindert Spammer daran, diesen Port zu verwenden? Die Tatsache, dass der MSA in der Regel eine Benutzerautorisierung erfordert. Dies ist nicht der einzige Grund für die Existenz von MSA - da es mit E-Mail-Clients funktioniert und besser für die Arbeit von Clients optimiert ist - warnt es sofort vor Fehlern in Nachrichten, z. B. dem Fehlen der Domänenadresse des Empfängers.



Lassen Sie uns abschließend den Vorgang des Versendens einer E-Mail-Nachricht verfolgen. Verwenden Sie dazu wireshark, einen E-Mail-Client und ein Google Mail-Konto. Alles beginnt mit dem Standard-TCP-Handshake, nach dem die SMTP-Sitzung gestartet wird. Innerhalb der Sitzung begrüßen sich der E-Mail-Client und der Server gegenseitig. Danach bietet der E-Mail-Client an, die Sitzung zu verschlüsseln. Der Server stimmt zu, wonach die Schlüssel ausgetauscht werden und die TLSv1.3-Sitzung beginnt. Danach meldet sich der Client verschlüsselt an und sendet eine nicht sichtbare Nachricht für einen Verkehrsabfangjäger.