后缀smtps和提交混乱

Question

我已经设置后缀，以便电子邮件客户端使用端口465 (smtps)的出站邮件。我并不真正理解smtps (端口465)和提交(端口587)之间的区别。

当为客户端配置后缀以安全发送邮件时，最佳实践是什么？就用smtps？还是同时使用提交和smtps？

Answer 1

编辑:此答案基于RFC-6409，不再正确，请参阅较新的RFC-8314。

端口465用于SSL保护的SMTP连接。但是，由于STARTTLS：“撤消smtps TCP端口”的可用性，对SMTP使用该端口已被废弃，这些天来，您不应该再为SMTPS使用端口465。相反，可以使用端口25接收来自其他服务器的域邮件，或者使用端口587接收来自客户端的电子邮件，客户端需要通过您的服务器将邮件发送到其他域，从而向其他服务器发送邮件。

另外，端口587专门用于邮件提交，而邮件提交旨在更改消息和/或提供身份验证：

• 为试图提交邮件的客户提供并要求认证
• 提供安全机制，防止提交未经请求的大量邮件(垃圾邮件)或受感染的邮件(病毒等)
• 根据组织的需要修改邮件(重写发件人等)

向端口587提交应该支持STARTTLS，因此可以加密。另见RFC#6409。

Answer 2

TL；

博士

新的建议是暂时支持提交/smtps和使用STARTTLS的提交，在不再使用后逐步淘汰后者。(同样的建议也适用于POP3对POP3S和IMAP对IMAPS。)

详细信息

在RFC 8314节3.3中，最佳实践发生了变化：

当为“提交”服务(默认端口465)建立TCP连接时，TLS握手立即开始。…端口587上的STARTTLS机制由于端口465的情况(在7.3节中讨论)而得到了相对广泛的部署。这与IMAP和POP服务不同，在这些服务中，隐式TLS比STARTTLS更广泛地部署在服务器上。为了一致性和附录A中讨论的其他原因，需要将MUA软件使用的核心协议随时间的推移迁移到隐式TLS。但是，为了最大限度地利用加密来提交，最好在几年的过渡期内支持TLS上的两种消息提交机制。因此，在此过渡期间，客户端和服务器应该在端口587上实现STARTTLS，在端口465上实现隐式TLS。注意，在端口587上的STARTTLS和端口465上的隐式TLS的安全属性之间没有显著差异，如果实现是正确的，并且客户端和服务器都被配置为在提交消息之前需要成功地协商TLS。

引用的附录A随后详细阐述了对SMTP、POP3和IMAP的所有选择采用隐式TLS的决定，因为这些要点

1. 我们希望在任何地方都有加密连接，所以在实践中不使用兼容性的情况下，维护所有这些协议的向后兼容版本是没有意义的。
2. 由于几个实现中存在相同的问题，STARTTLS谈判阶段出现了漏洞。

Answer 3

正如IETF RFC8314 7.4科概述的那样，“虽然已经部署了端口587上的STARTTLS，但它并没有取代在端口465上部署的隐式TLS提交。”

465/tcp (直接TLS)由于578/tcp (STARTTLS)太容易使人处于中间地位，在今天已经有了强大的SMTP MTA的Internet部署。