SMTP s2s

общаться не значит письма принимать )

Не придумывай. Везде строго starttls и tls 1.3 да, по 25-му порту, да, для совместимости, но тем не менее.

От меня тоже принимают.

Т. е. TLS по 25-му порту? Вот так не думал. Ок, проверю.

или со мной все в fallback режиме общаются

Оно.

А ещё у гугла старые cipher’ы принимаются :)

Ну про «строго» ты наврал. Между SMTP серверами opportunistic encryption. То есть ты можешь конечно настроить у себя там всякие DANE с DNSSEC’ами, но проблем с ними огребешь точно больше. Людям нужно, чтобы почта ходила, поэтому этим никто не парится. И да, самоподписанные сертификаты будут работать.

Согласен, требование не обязательное, конечно. Но я хз что должно случиться, чтобы отпускать почту без starttls/cert verification required, да и зачем бы О_о Если у кого-то локалхост почта в plain text ну так пусть и сидит один)

что должно случиться, чтобы отпускать почту без starttls

Отпустил ты почту со STARTTLS, и пришла она на сервер каких-нибудь рогов и копыт, а с ним наборы шифров не совпали, например. Так что пошла почта со STARTTLS, а пришла туда без всякого шифрования.

А если будешь требовать шифрованное соединение, то не попадёт твоя почта к этим рогам и копытам никогда. И ладно бы это была твоя собственная почта.

Мне кажется, у Рогов и Копыт она точно будет на Яндексе/Мэйле.

Ещё хотел спросить. Все ли s2s коннекты происходят по 25-му порту? Т. е. и те, что TLS и те, что Plain?

Разные Рога и Копыта бывают. Если это ООО Вектор условное, то у них, наверное, один ящик на яндексе для всего. А если это важное производство, типа Верхнезачатьевского комбината резиновых изделий, им положено свой почтовик иметь.

А дальше начинаются интересные истории. Тут регулярно появляются темы, типа, при обновлении сломался Exim на шестой центоси, смотришь – а там релиз десятилетней давности, дырявый насквозь. Очевидно, что они его там один раз настроили и он слал у них почту все эти десять лет. А уж что там у них с шифрованием – бог его знает.

Все ли s2s коннекты происходят по 25-му порту?

Да, иначе это не работает. Ну, то есть, в принципе ты можешь выставить любой понравившийся, но стучаться будут всё равно на 25.

Т. е. и те, что TLS и те, что Plain?

SMTP соединение начинается всегда плейнтекстом. Сервер стучится к другому и спрашивает как у него насчёт шифрования. Если тот говорит, что в порядке, сверяют шифры и продолжают соединение как шифрованное. Если нет, шифрованное соединение просто не устанавливается и они продолжают общаться плейнтекстом.

Можно разорвать соединение, конечно, в этот момент. Но почта не будет доставлена. Поэтому имеет смысл разрешать слабые старые шифры, чтобы иметь какое-то шифрование со старыми серверами. В пределах разумного, само собой.

Если шифрование не запрашивается, то соединение и не шифруется.

Опять же, можно отказаться принимать нешифрованные соединения, но тогда какая-то почта к тебе не придёт, потому что не сможет.

587 и 465 порты это submission/submissions. В принципе, оппортунистическое шифрование для клиентских соединений не имеет смысла, так что клиентам смело можно оставлять только 465 порт с принудительным шифрованием и строгим набором шифров.

Спасибо. Паззл сходится.

Т. е. между серверами не может быть: Submission (TCP 587) или SMTP over implicit TLS (over dedicated port) (TCP 465).

Между серверами даже SMTP over TLS происходит по 25-му порту, начиная с Plain Text соединения (STARTTLS).

Всё верно?

Между серверами даже SMTP over TLS происходит по 25-му порту

Корректнее сказать, что на 25 порту SMTP использует расширение STARTTLS.

между серверами не может быть: Submission (TCP 587)

Потому что submission, т.е. клиентское соединение, к s2s никакого отношения не имеет.

или SMTP over implicit TLS (over dedicated port) (TCP 465)

У 465 порта более сложная история. В двух словах: когда-то предполагалось, что он будет работать в паре с 25 портом как 80 и 443 для HTTP/HTTPS. Потом к SMTP прикрутили STARTTLS и надобность в SMTPS отпала.

Сейчас 465 стандартизирован как submissions, в пару к 587. То есть, это такой же случай как 143 и 993 для imap/imaps.

Поскольку на 587 порту никто в здравом уме не разрешает авторизацию плейнтекстом без шифрования, то получается, что принципиальной разницы между 587 и 465 нет, кроме той, что на 587 у нас STARTTLS, где мы рвём соединения клиентов, которые не хотят в шифрование, а на 465 принудительный TLS, где нешифрованные соединения невозможны.

Предполагается, что нужно держать их оба пока клиенты не научатся автоконнекту на 465 порт, но кажется все уже давно научились.

Спасибо!

Из этого заметка. Если в s2s коммуникации всегда участвует только 25й порт, и контора бедна и имеет только 1 белый IP на всё, то закрывать ото всех кроме сервера доступ в инет нужно только по dst-port=25.

и контора бедна и имеет только 1 белый IP на всё, то

не стоит даже пытаться поднимать почтарь на этом IP.
Как варианты:
1. пользак ловит какой-то вирь который свиснув из почтового акка пользака данные начинает от него рассылать.
2. пользак ловит какой-то вирь который просто начинает рассылать от левого акка.
3. пользак ловит какой-то вирь который начинает долбить все что можно и нельзя.
4. ... надеюсь вы поняли.

ЗЫ Ну и что бы два раза не вставать, юрикам не редко, но не всегда, доп. IP/подсети выделяют нахаляву. Но даже если за денежку, то на фоне абонентки для юрика это чаще копейки. Вот хуже другая ситуация «А мы не можем!» тут бодаться приходится долго и говорят (вроде здесь недавно пролетала тема), что не всегда успешно. Но даже если сходу скажут «А мы не можем!» надо начинать с долгой и аргументированной промывки мозгов прову, а то возможно вы попадаете на девочку из первой линии которая вам «отвечает как автоответчик» и вы сходу сложите крылья.

1. Это моя проблема. На серваке надо ограничения ввести. И это не зависит от того, отдельный ли IP или нет.
2. Не сможет. Доступ в инет закрыт по 25-му порту.
3. =2.
4. =2.

Провы у нас адекватные, тут вопросов нет.

Это моя проблема. На серваке надо ограничения ввести.

«Надо» или они есть?

Не сможет. Доступ в инет закрыт по 25у порту.

Только по 25-му ? Если да, то у меня для вас плохие новости…

Ещё нет.

Только что же обсудили, что s2s только 25й порт?

Целевой порт, конечно, 25. А вот отправка происходит со свободных портов диапазона, если ты ничего не ограничивал. Посмотри логи (и документацию). Не думаю, что Postfix здесь чем-то отличается от Exim.

Вообще как бы хорошая идея иметь для почты отдельный айпишник.

Ещё такой момент. Гугл пару лет назад рапортовал о том, что порядка 85% почты передаётся им через шифрованные соединения. Если ты наблюдаешь обратную картину, имеет смысл напрячься насчёт того как у тебя настроено шифрование.

Я вот про это:

Вот пытаюсь понять, это норма - кидаться почтой между серверами без шифрования, или со мной все в fallback режиме общаются?

С виду всё может быть нормально, почта вроде ходит, а внезапно оказывается, что у тебя где-нибудь опечатка в пути к сертификату, банально. Сертификат не находится, шифрованное соединение не устанавливается, почта идёт плейнтекстом.

Ещё нет.

Ещё нет, но почтарь мы уже подняли. Голосом вороны из мульта «Прелестно».

Только что же обсудили, что s2s только 25й порт?

Причем тут это? Напоминаю что было в цепочке:

2. пользак ловит какой-то вирь который просто начинает рассылать от левого акка.

Не сможет. Доступ в инет закрыт по 25у порту.

Только по 25-му ? Если да, то у меня для вас плохие новости…

Целевой порт, конечно, 25. А вот отправка происходит со свободных портов диапазона, если ты ничего не ограничивал.

Так на фаерволе организации проверка по dst-port, а не по src-port. Понятно, что порт отправителя всегда разный, но его в сетях вообще редко проверяют в правилах фаерволла.

Я просто сначала в логах видел в s2s коннектах только 25й порт. Но после того, как Вы мне разжевали про STARTTLS в s2s SMTP, я понял, что надо тут получше проверить. Ещё не проверил. Времени не было.

пользак ловит какой-то вирь который просто начинает рассылать от левого акка.

Вирь притворяется почтовым сервером, коннектится как сервер к какому-нить yandex.ru, при этом yandex видит, что коннект валидный - от «хорошего IP» (есть RDNS и spf в dns как минимум) и принимает почту.

• Этого не произойдёт, т. к. на моём фаере закрыт dst-port=25 для всех кроме сервера.

Вирь притворяется моим клиентом и либо он своровал логин-пасс - тогда с меня антиспам настройка на моём серваке, либо он знает только IP моего мейл-сервера - тогда он не знает логин-пасс, почту не пошлёт.

Не понимаю, где я не прав. Распишите случай.

Вирь притворяется почтовым сервером

Та никем не надо притворятся, просто достаточно начать рассылать всякую чухню направо и налево.

Этого не произойдёт, т. к. на моём фаере закрыт dst-port=25

Я вам уже выше намекнул...

Безосновательно без объяснений. Остаюсь при своём мнении основанном на обсуждениях в начале топика.

Безосновательно без объяснений

Вам ещё и разжевать и в рот положить что ли нужно?

Остаюсь при своём мнении

Флаг в руки, барабан на шею, электричку на встречу.

Я Вам разжевал разные варианты. Вы не можете разжевать свой.

Я Вам разжевал разные варианты.

Если не поняли||догадались, то что же... удачи вам... грабелек в этом мире много и видимо каждый хочет на них наступить.

Не догадался. Ребята, если кто догадался, можете разжевать?

Везде строго starttls и tls

Нет, не строго. И это не нужно. Кому нужно - PGP на сами письма. Строгие могут идти в пешее эротическое.

Надеюсь от тебя не зависит ничья почта кроме твоей собственной

Надеюсь от тебя не зависит ничья почта кроме твоей собственной

Как много наяривающих на tls... :-)

Я тоже не строго сделал… да у всех не строго по наблюдениям за логами в течение 2х недель.