LINUX.ORG.RU

История изменений

Исправление ivanov17, (текущая версия) :

Все ли s2s коннекты происходят по 25-му порту?

Да, иначе это не работает. Ну, то есть, в принципе ты можешь выставить любой понравившийся, но стучаться будут всё равно на 25.

Т. е. и те, что TLS и те, что Plain?

SMTP соединение начинается всегда плейнтекстом. Сервер стучится к другому и спрашивает как у него насчёт шифрования. Если тот говорит, что в порядке, сверяют шифры и продолжают соединение как шифрованное. Если нет, шифрованное соединение просто не устанавливается и они продолжают общаться плейнтекстом.

Можно разорвать соединение, конечно, в этот момент. Но почта не будет доставлена. Поэтому имеет смысл разрешать слабые старые шифры, чтобы иметь какое-то шифрование со старыми серверами. В пределах разумного, само собой.

Если шифрование не запрашивается, то соединение и не шифруется.

Опять же, можно отказаться принимать нешифрованные соединения, но тогда какая-то почта к тебе не придёт, потому что не сможет.

587 и 465 порты это submission/submissions. В принципе, оппортунистическое шифрование для клиентских соединений не имеет смысла, так что клиентам смело можно оставлять только 465 порт с принудительным шифрованием и строгим набором шифров.

Исходная версия ivanov17, :

Все ли s2s коннекты происходят по 25-му порту?

Да, иначе это не работает.

Т. е. и те, что TLS и те, что Plain?

SMTP соединение начинается всегда плейнтекстом. Сервер стучится к другому и спрашивает как у него насчёт шифрования. Если тот говорит, что в порядке, сверяют шифры и продолжают соединение как шифрованное. Если нет, шифрованное соединение просто не устанавливается и они продолжают общаться плейнтекстом.

Можно разорвать соединение, конечно, в этот момент. Но почта не будет доставлена. Поэтому имеет смысл разрешать слабые старые шифры, чтобы иметь какое-то шифрование со старыми серверами. В пределах разумного, само собой.

Если шифрование не запрашивается, то соединение и не шифруется.

Опять же, можно отказаться принимать нешифрованные соединения, но тогда какая-то почта к тебе не придёт, потому что не сможет.

587 и 465 порты это submission/submissions. В принципе, оппортунистическое шифрование для клиентских соединений не имеет смысла, так что клиентам смело можно оставлять только 465 порт с принудительным шифрованием и строгим набором шифров.