我想阻止 smtp 25、pop 110 和 imap 143,只使用安全的 smtps 465、pop3s 995 和 imaps 993。有什么充分的理由让端口 25、110、143 打开吗?
答案1
实际上,您提到的端口 465、995 和 993 已被弃用,不应再使用。
看RFC2995第七节
- imap 和 pop3s 端口
已注册单独的“imaps”和“pop3s”端口以用于 SSL。不建议使用这些端口,而建议使用 STARTTLS 或 STLS 命令。
已发现针对“安全”协议变体的单独端口存在许多问题。本文试图列举其中的一些问题。
- 单独的端口会导致单独的 URL 方案,从而以不适当的方式侵入用户界面。例如,许多网页使用“如果您的浏览器支持 SSL,请单击此处”这样的语言。浏览器通常比用户更有能力做出这一决定。
- 单独的端口意味着“安全”或“不安全”的模型。这可能在很多方面造成误导。首先,“安全”端口实际上可能并不安全,因为可能使用了导出受限的密码套件。这可能会误导用户产生虚假的安全感。其次,正常端口实际上可能通过使用包含安全层的 SASL 机制来保护。因此,单独的端口区别使复杂的安全策略主题更加令人困惑。这种混淆的一个常见结果是防火墙管理员经常被误导允许“安全”端口并阻止标准端口。这可能是一个糟糕的选择,因为通常使用具有 40 位密钥加密层的 SSL 和纯文本密码身份验证不如强大的 SASL 机制(例如带有 Kerberos 5 的 GSSAPI)安全。
- 使用单独的 SSL 端口导致客户端只能实施两种安全策略:使用 SSL 或不使用 SSL。理想的安全策略“在可用时使用 TLS”对于单独的端口模型来说会很麻烦,但对于 STARTTLS 来说却很简单。
- 端口号是一种有限资源。虽然目前还不至于供不应求,但开创先例使其消耗速度加倍(甚至更糟)是不明智的。
至于 SMTPS 的端口 465,IANA 甚至将其重新分配给了其他用途:
urd 465 tcp SSM 的 URL 汇合目录
来源 :http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?&page=9
具体来说,对于 SMTP ,邮件服务器应该(在大多数情况下)接受未加密的通信,因为它可能会从不建议 TLS 的服务器收到电子邮件。
但是,也建议使用端口 25 进行服务器到服务器的邮件传输,并使用端口 587 进行客户端的邮件提交。
提炼:
- 留言提交
3.1. 提交识别
端口 587 保留用于本文档中指定的电子邮件消息提交。在此端口上收到的消息被定义为提交。使用的协议是 ESMTP [SMTP-MTA、ESMTP],并有此处指定的其他限制。
虽然大多数电子邮件客户端和服务器可以配置为使用端口 587 而不是 25,但在某些情况下这是不可能的或不方便的。网站可以选择使用端口 25 提交邮件,方法是将一些主机指定为 MSA,将其他主机指定为 MTA。
关于 POP3、IMAP 和端口 587 上的邮件提交,您可以通过配置服务器以拒绝未使用 TLS 加密的连接来在标准端口 110、143、587 上强制加密。(强烈建议这样做)。
答案2
由于 STARTTLS 可以在普通会话中发出,因此不使用标准 25/110/143 以外的端口的原因。
如果另一方可以使用 TLS - 那就使用 TLS。如果不能,则将发生普通的未加密会话。
答案3
端口 110 和 143: 如果我打开 110(pop3s)和 143 imaps,则意味着用户可以将邮件以纯文本形式下载到他们的客户端。
端口 25: 如果我封锁了25端口,用户将无法以纯文本形式发送邮件。但是我刚刚测试了一些东西。邮件服务器将无法接收邮件,因为将无法接收邮件。事实上,邮件服务器通过25端口进行通信。