Tentang port dan enkripsi di server mail

Saat mengkonfigurasi server surat keluar pada klien surat, Anda melihat 3 opsi untuk enkripsi - tanpa enkripsi, SMTPS dan STARTTLS, serta 3 kemungkinan port - 25, 465, 587. Apa yang harus dipilih dan untuk apa - mari kita pahami.

Video

Sebelumnya < Mode Operasi Server Mail
Selanjutnya> Data DNS untuk Server Mail


Ketika Anda mengirim pesan ke seseorang, klien email Anda menggunakan ESMTP untuk mengirim pesan ini, dan kemudian server email Anda menggunakan protokol yang sama jika perlu mengirim pesan ini ke yang lain server. Dan sementara semua orang berbicara dan menulis SMTP, biasanya tentang ESMTP - SMTP yang sama, tetapi dengan serangkaian ekstensi, seperti otorisasi dan enkripsi. Ya, sekali SMTP bahkan tidak mendukung otorisasi.



Sekarang sedikit tentang SMTPS. Dulu Internet sangat sederhana sehingga semua isinya ditransmisikan dalam teks yang jelas. Kemudian datang protokol enkripsi kriptografi, SSL yang sama. Dan layanan yang sebelumnya mengirimkan informasi dalam bentuk terbuka, mulai membungkus lalu lintas di SSL.



Tapi itu tidak mudah untuk melakukan ini pada port standar yang sama - klien dan server harus menyetujui metode enkripsi, dan untuk layanan pada satu port bekerja secara bersamaan untuk beberapa dengan enkripsi, dan untuk yang lain tanpa - itu akan memerlukan perubahan dalam protokol. Dan agar tidak menyulitkan semuanya, mereka mulai membuat porta terpisah untuk koneksi terenkripsi - ini adalah bagaimana 443 untuk HTTPS dan 465 untuk SMTPS muncul. Tapi kami menyadarinya sekarang - ada beberapa port khusus, jumlah layanan tumbuh, dan jika masing-masing dari mereka akan menggunakan beberapa port dengan enkripsi dan tanpa enkripsi untuk keperluan mereka - masalah.



Dan pada akhirnya, mereka memutuskan untuk memodifikasi protokol sedikit. Dalam beberapa kasus, ini tidak berhasil dengan baik, misalnya, untuk HTTP, dan dalam kasus SMTP, itu ternyata menjadi pilihan yang sangat cocok. Untuk ini, ekstensi STARTTLS telah ditambahkan ke SMTP. Secara umum, ekstensi STARTTLS tidak hanya digunakan untuk SMTP, secara umum itu adalah perintah untuk memulai negosiasi enkripsi. Tidak seperti SMTPS, yang menggunakan port khusus 465 dan segera mengenkripsi koneksi, STARTTLS hanyalah ekstensi untuk SMTP, yang berarti bahwa sesi tersebut dimulai sebagai sesi SMTP biasa. Server mail saling menyapa, dan kemudian menawarkan untuk mulai mengenkripsi dan memilih protokol kriptografi yang tersedia.



Akibatnya, dengan munculnya STARTTLS dari standar, mereka memutuskan untuk menghapus SMTPS pada port 465 sebagai layanan terpisah. Mereka menghapusnya dari standar, tetapi layanan tetap, dan masih digunakan. Mengenai enkripsi, saya masih akan membuat topik terpisah, tetapi untuk sekarang mari kita bicara tentang STARTTLS.



Saya katakan sebelumnya bahwa dengan STARTTLS, server mail atau klien / server membuka koneksi tanpa enkripsi, dan kemudian menyetujui enkripsi. Mereka menggunakan SSL / TLS yang sama untuk enkripsi. Tetapi bagaimana jika mereka tidak setuju? Ternyata mereka akan berkomunikasi dalam bentuk tidak terenkripsi? Di internet? Sementara itu, mereka setuju tanpa enkripsi apa pun, sehingga dengan mudah menipu server atau klien dengan kurangnya metode enkripsi yang tersedia. Dan pada suatu waktu mereka menangkap salah satu penyedia dalam serangan semacam itu. Dan kemudian Anda membutuhkan enkripsi seperti itu, Anda bertanya. Tidak semuanya sia-sia. Bahkan, administrator dapat menonaktifkan kemampuan untuk mengirim email jika tidak mungkin menyetujui enkripsi, dan klien email diharuskan untuk memperingatkan bahwa server tidak mendukung enkripsi.



Jadi, kami menemukan bahwa ada SMTP yang berfungsi pada port 25, ada SMTPS yang bekerja pada 465, tetapi ada port lain - 587, yang juga digunakan oleh server mail.



Seperti yang Anda perhatikan, klien email terhubung ke server melalui SMTP. Dan server surat terhubung satu sama lain melalui SMTP juga. Saya juga mengatakan pada bagian terakhir bahwa ada server - server relay yang meneruskan surat. Untuk alasan tertentu, kebanyakan manusia, ada host relay di Internet yang memungkinkan pengguna yang tidak sah untuk mengarahkan pesan dari alamat apa pun. Dan host ini muncul setiap kali ketika admin lalai memunculkan server mail, dan ini sering terjadi. Akibatnya, penjahat dunia maya meningkatkan server sementara atau menginfeksi komputer pengguna yang mengirim spam melalui host relay ini tanpa izin.



Akibatnya, beberapa penyedia Internet memblokir koneksi pengguna apa pun ke port 25.



Port ini terbuka antara server di Internet, tetapi mereka membuat layanan terpisah untuk pengguna - MSA (agen pengiriman pesan - agen pengirim), sehingga memisahkan koneksi pengguna dari koneksi server yang masih berkomunikasi melalui MTA. Secara umum, MSA bahkan bekerja pada port 25, tetapi port resmi untuknya adalah 587. Jadi apa yang mencegah spammer menggunakan port ini? Fakta bahwa MSA, sebagai suatu peraturan, membutuhkan otorisasi pengguna. Ini bukan satu-satunya alasan keberadaan MSA - karena MSA berfungsi dengan klien email, lebih baik dioptimalkan untuk pekerjaan klien - segera memperingatkan setiap kesalahan dalam pesan, misalnya, tidak adanya alamat domain penerima.



Dan akhirnya, mari ikuti proses pengiriman pesan email. Untuk melakukan ini, gunakan wireshark, klien email dan akun gmail. Semuanya dimulai dengan handshake TCP standar, setelah sesi SMTP dimulai. Dalam sesi tersebut, klien surat dan server saling menyapa, setelah klien surat menawarkan untuk mengenkripsi sesi, server setuju, setelah itu kunci dipertukarkan dan sesi TLSv1.3 dimulai, setelah itu klien login dienkripsi dan mengirim pesan yang tidak terlihat untuk pencegat lalu lintas.