LINUX.ORG.RU
ФорумAdmin

Если закрыть 25-й порт

 


0

2

Допустим, понадобилось чтобы почтовый сервер (Postfix, например) обменивался со своими братьями по Интернету только по криптованому протоколу.

Для этого закрываем в файрволе 25 порт и открываем 465-й.

Такая схема будет нормально работать?


Ответ на: комментарий от Sherman

Ну да, вы подсказали более правильное решение, спасибо.

Все равно остается некоторое беспокойство. Ведь мой Postfix для пересылок будет же искать такие же сервера, которые тоже работают на 465, отвергая 25-е, так ведь?

И не получится ли так, что в поисках таких шифрованных «собутыльников» будет теряться дополнительное время на маршрутизацию писем? И не случится ли ситуация, что он не найдет таких и письмо никуда не дойдет.

Да, чувстствую, что морозю глупость, но лучше спрошу знающих, чем потом разгребать глупое решение :)

Red7
() автор топика
Ответ на: комментарий от Red7

На сколько я знаю, в данный момент, все уважающие себя почтовики используют шифрование, и все же, если вы наткнетесь на такой сервер, то с конфигом ssl-only письмо таки может не доставится. Я в почтовые сервера не вникал, так что все выше сказанное лишь мое ИМХО.

Sherman
()
Ответ на: комментарий от Sherman

Используют шифрование, это да, но у меня задача не пропускать письма по нешифрованному протоколу.

И если мой SMTP работает только по шифрованному/465, то он же никак не сможет связаться (а тем более передать письмо) с серваком, у которого только 25-й, так ведь?

Red7
() автор топика
Ответ на: комментарий от Red7

Путаешь мягкое с тёплым. 25-й ли порт или 465-й — для шифрование ортогонально.

Настрой на 25-ом mandatory starttls и будет тебе счастье (ну и часть писем доходить не будет, т.к. smtp не обязывает к использованию криптографии).

Правильная схема такая:

  • 25: от чужих с/без tls — как у них получится, пусть так и шлют
  • 25: от своих (с аутентификацией) обязательный tls
  • 465: deprecated in RFC 2487
  • 587: tls
beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 2)

по RFC порт для общения между серверами ТОЛЬКО 25. Ни один сервер не будет коннектиться к тебе по другому порту. на 25 порту ты можешь сделать starttls и писать об этом в приглашении по ehlo. 250-STARTTLS

Если при этом ты хочешь принимать ТОЛЬКО шифрованый трафик, то вместо smtp_tls_security_level = may ты ставишь smtp_tls_security_level = encrypt , но, как тебе написали выше, приготовься к тому, что часть писем до тебя будет не доходить. При smtp_tls_security_level = may те сервера, которые умеют шифровать, будут шифровать. Но трафик все равно будет подвержен Man-in-the-middle атаке.

constin ★★★★
()

The port 465 was assigned for about one year when it was revoked in support of securing SMTP communications using Transport Layer Security (TLS). The nail in the coffin was a new protocol command «STARTTLS», introduced in RFC 2487. This command allows SMTP servers to communicate over existing ports by advertising whether the destination server supports TLS encryption. If so, the sending server can upgrade the connection using the «STARTTLS» SMTP command.

constin ★★★★
()
Ответ на: комментарий от beastie

Путаешь мягкое с тёплым. 25-й ли порт или 465-й — для шифрование ортогонально.

Тогда непонятно, зачм придумали дополнительный 465-й порт, если и по 25 можно настроить шифрование.

(ну и часть писем доходить не будет)

Почему же? Если соседний smtp, который хочет отправить на мой smtp письмо, не поддерживает шифрование, то он обязан переслать (методом перебора) письмо другому smtp, который поддерживает его, и уж тот перешлет его на мой smtp.
Путь получиться несколько длинее, но письмо никогда не пропадет, это же заложено в основы маршрутизации писем, разве не так?

Но трафик все равно будет подвержен Man-in-the-middle атаке.

И в каком месте пролегает эта середина, где возможна перлюстрация писем?

Red7
() автор топика
Ответ на: комментарий от Red7

Тогда непонятно, зачм придумали дополнительный 465-й порт, если и по 25 можно настроить шифрование.

Почитай в чём разница между SSL и TLS - и данный вопрос отпадёт.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Читал, и не раз, но там такие тонкости, что мне не понять. Одно понял точно - TLS это развитие SSL.

Ладно, фиг с ними, в данный момент меня больше интересует ответ на два других вопроса - по поводу «недохождения» писем, в чем я засомневался, и где именно находится середина, где хакер со снифером ждет писем, чтобы читать их:)

Red7
() автор топика
Ответ на: комментарий от Red7

Если соседний smtp, который хочет отправить на мой smtp письмо, не поддерживает шифрование, то он обязан переслать (методом перебора) письмо другому smtp, который поддерживает его, и уж тот перешлет его на мой smtp.

Уж поперхнулся. Простите как вы себе это «методом перебора» реально представляете?

anc ★★★★★
()
Ответ на: комментарий от anc

Ну пусть не перебором, а как-то иначе, какая в данной теме разница? Больше интересуют ответы на два вопроса, которые зависли.

PS. А хотя бы и перебором, и что же? Существует же к примеру DHT, и ничего, все пользуются без проблем.

Red7
() автор топика
Ответ на: комментарий от Red7

А хотя бы и перебором, и что же?

Я предложил вам самому подумать. Перебором чего? IP всего мира, и кто «откликнется» на 25-й порт и еще примет тому и слать? Вообще-то это называется спам.

Больше интересуют ответы на два вопроса, которые зависли.

Вам выше уже все рассказали. Тут добавить нечего.

anc ★★★★★
()
Ответ на: комментарий от Sherman

гугл, яндекс свободно принимает по 25. можете руками telnet-ом написать

int13h ★★★★★
()
Ответ на: комментарий от Red7

Глубокое незнание области. Ни перебором, ни DHT, никаким другим образом. Если почтовый сервер, указанный в MX-записи домена получателя, не будет получать письмо, то и никто другой ему его доставлять не будет. Открытый релей, которые передает письма не себе, в диком интернете - моветон и сразу попадает в черные списки.

anonymous
()
Ответ на: комментарий от anc

Так в том-то и дело, что не ответили. Просто изрекли две безапеляционных фразы без пояснений и все. Откуда я знаю, может, эти господа просто пошутили :)

Red7
() автор топика
Ответ на: комментарий от anc

Ок, и где там названа конкректная причина, почему могут не прийти письма, если порт smtp шифрованный?
Или где там та самая «середина» при атаке «человек посредине»?

Red7
() автор топика
Ответ на: комментарий от anc

Извиняюсь, но там пояснения выглядят несколько не так, как бы я мог трактовать их как ответы на мои вопросы.
Ладно, видно мне эти нюансы в такой редакции не понять.

Red7
() автор топика
Ответ на: комментарий от Red7

Ладно, видно мне эти нюансы в такой редакции не понять.

Простите за мой «французский», но похоже анон выше прав. У вас «Глубокое незнание области.»
А судя по темам, так оно и есть. Причем во всем.
Рекомендую начать с теории, а потом уже задавать здесь конкретные вопросы когда что-то не получается.

anc ★★★★★
()
Ответ на: комментарий от Red7

вот вам полный ответ: 25 порть может одновременно работаь и так и так. поэтому нет смысла в других портах или создании резервных mx серверов специально для этого случая.

про атаку: если хотя бы на одном из двух общающихся серверов starttsl необязателен, то человек-по-середине встает на место принимающего сервера, дает приглашение без возможности шифрования, снифит трафик и пересылает его дальше с шифрованием или без по желанию.

это все хорошо бы работало, когда все сервера в мире жестко бы требовали шифрованного соединения.

constin ★★★★
()
Ответ на: комментарий от anc

Уж поперхнулся. Простите как вы себе это «методом перебора» реально представляете?

думаю(надеюсь), что он имел ввиду перебор mx.

constin ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.