Sobre portas e criptografia em servidores de correio

Ao configurar o servidor de e-mail de saída no cliente de e-mail, você vê 3 opções de criptografia - sem criptografia, SMTPS e STARTTLS, além de 3 portas possíveis - 25, 465, 587. O que escolher e o que fazer - vamos entender.

Vídeo

Anterior < Modos operacionais do servidor de email
Próximo> Registros DNS para servidores de email


Quando você envia uma mensagem para alguém, seu cliente de email usa o ESMTP para enviar essa mensagem e, em seguida, o servidor de email usa o mesmo protocolo se precisar enviar essa mensagem para outro servidor. E enquanto todos falam e escrevem SMTP, geralmente é sobre ESMTP - o mesmo SMTP, mas com um conjunto de extensões, como autorização e criptografia. Sim, uma vez que o SMTP nem mesmo suporta a autorização.



Agora um pouco sobre SMTPS. Uma vez que a Internet era tão simples, tudo era transmitido em texto não criptografado. Depois vieram os protocolos de criptografia criptográfica, o mesmo SSL. E os serviços que anteriormente transmitiam informações de forma aberta começaram a desviar o tráfego no SSL.



Mas não foi fácil fazer isso nas mesmas portas padrão - o cliente e o servidor devem concordar com um método de criptografia e, para que um serviço em uma porta funcione simultaneamente para alguns com criptografia e para outros sem - isso exigiria alterações nos protocolos. E, para não complicar tudo, eles começaram a esculpir portas separadas para conexões criptografadas - foi assim que apareceram 443 para HTTPS e 465 para SMTPS. Mas nós percebemos isso agora - existem poucas portas dedicadas, o número de serviços está crescendo e, se cada uma delas usar várias portas com criptografia e sem criptografia para seus propósitos - problemas.



E no final, eles decidiram modificar um pouco os protocolos. Em alguns casos, isso não funcionou muito bem, por exemplo, para HTTP e, no caso de SMTP, acabou sendo uma opção perfeitamente adequada. Para isso, a extensão STARTTLS foi adicionada ao SMTP. Em geral, a extensão STARTTLS não é usada apenas para SMTP; em geral, é um comando para iniciar negociações de criptografia. Diferente do SMTPS, que usa uma porta dedicada 465 e criptografa a conexão imediatamente, o STARTTLS é apenas uma extensão do SMTP, o que significa que a sessão é iniciada como uma sessão SMTP regular. Os servidores de correio se cumprimentam e, em seguida, oferecem para começar a criptografar e selecionar os protocolos criptográficos disponíveis.



Como resultado, com o advento do STARTTLS dos padrões, eles decidiram remover o SMTPS na porta 465 como um serviço separado. Eles o removeram dos padrões, mas o serviço permaneceu e ainda está em uso. Quanto à criptografia, ainda vou criar um tópico separado, mas por enquanto vamos falar sobre o STARTTLS.



Eu disse anteriormente que, com o STARTTLS, os servidores de email ou um cliente / servidor abrem uma conexão sem criptografia e concordam com a criptografia. Eles usam o mesmo SSL / TLS para criptografia. Mas e se eles não puderem concordar? Acontece que eles vão se comunicar de forma não criptografada? Na internet? Enquanto isso, eles concordam sem criptografia, enganando com facilidade o servidor ou o cliente pela falta de métodos de criptografia disponíveis. E ao mesmo tempo, eles pegaram um dos fornecedores em um ataque desse tipo. E então você precisa dessa criptografia, você pergunta. Nem tudo é tão impossível. De fato, o administrador pode desativar a capacidade de enviar e-mails se não for possível concordar com a criptografia, e os clientes de e-mail devem avisar que o servidor não suporta criptografia.



E assim, descobrimos que há SMTP que funciona na porta 25, há SMTPS que funciona na 465, mas há outra porta - 587, que também é usada pelo servidor de correio.



Como você notou, os clientes de email se conectam aos servidores via SMTP. E os servidores de correio também se conectam via SMTP. Eu também disse na última parte que existem esses servidores - hosts de retransmissão que encaminham emails. Por certas razões, principalmente humanas, existem hosts de retransmissão na Internet que permitem que usuários não autorizados redirecionem mensagens de qualquer endereço. E esses hosts aparecem sempre que um administrador negligente aumenta o servidor de email, e isso acontece com frequência. Como resultado, os cibercriminosos criam servidores temporários ou infectam computadores de usuários que enviam spam por meio desses hosts de retransmissão sem autorização.



Como resultado, alguns provedores de Internet bloqueiam qualquer conexão de usuário na porta 25.



Essa porta está aberta entre servidores na Internet, mas eles criaram um serviço separado para usuários - MSA (agente de envio de mensagens - agente de envio), separando assim as conexões dos usuários dos servidores de conexão que ainda se comunicam via MTA. Em geral, o MSA funciona até na porta 25, mas a porta oficial é a 587. Então, o que impede os spammers de usar essa porta? O fato de o MSA, como regra, exigir autorização do usuário. Essa não é a única razão para a existência do MSA - uma vez que funciona com clientes de email, é melhor otimizado para o trabalho dos clientes - alerta imediatamente sobre erros nas mensagens, por exemplo, a ausência do endereço de domínio do destinatário.



E, finalmente, vamos seguir o processo de envio de uma mensagem de email. Para fazer isso, use o wireshark, um cliente de email e uma conta do Gmail. Tudo começa com o handshake TCP padrão, após o qual a sessão SMTP é iniciada. Durante a sessão, o cliente e o servidor de email se cumprimentam, após o qual o cliente de email se oferece para criptografar a sessão, o servidor concorda, após o qual as chaves são trocadas e a sessão TLSv1.3 começa, após o qual o cliente efetua login criptografado e envia uma mensagem que não é visível para um interceptador de tráfego.