Nic*_*net 1 email-server firewall
我想阻止 smtp 25、pop 110 和 imap 143 并且只使用安全的 smtps 465、pop3s 995 和 imaps 993。是否有充分的理由让端口 25,110,143 打开?
实际上,您提到的端口 465、995 和 993 已弃用,不应再使用。
参见RFC2995第 7 节
imaps 和 pop3s 端口
单独的“imaps”和“pop3s”端口被注册用于 SSL。为了支持 STARTTLS 或 STLS 命令,不鼓励使用这些端口。
对于“安全”协议变体的单独端口,已经观察到许多问题。这是试图列举其中的一些问题。
单独的端口导致单独的 URL 方案,该方案以不适当的方式侵入用户界面。例如,许多网页使用“如果您的浏览器支持 SSL,请单击此处”这样的语言。这是浏览器通常比用户更有能力做出的决定。
单独的端口意味着“安全”或“不安全”的模型。这可能会在很多方面产生误导。首先,“安全”端口实际上可能不是可以接受的安全,因为可能正在使用出口瘫痪的密码套件。这可能会误导用户产生错误的安全感。其次,普通端口实际上可以通过使用包含安全层的 SASL 机制来保护。因此,单独的端口区分使得安全策略这个复杂的话题更加混乱。这种混淆的一个常见结果是防火墙管理员经常被误导,允许“安全”端口并阻止标准端口。
对 SSL 使用单独的端口导致客户端仅实施两个安全策略:使用 SSL 或不使用 SSL。理想的安全策略“在可用时使用 TLS”对于单独的端口模型会很麻烦,但对于 STARTTLS 很简单。
端口号是一种有限的资源。虽然它们尚未供不应求,但开创可能使它们的消费速度翻倍(或更糟)的先例是不明智的。
关于 SMTPS 的 465 端口,它甚至被 IANA 重新分配给不同的用途:
SSM 的 urd 465 tcp URL 会合目录
来源:http : //www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?&page=9
特别是对于 SMTP ,邮件服务器应该(在大多数情况下)接受未加密的通信,因为它可能会收到来自不会建议 TLS 的服务器的电子邮件。
但是,也建议使用端口 25 进行服务器到服务器的邮件传输,使用端口 587 进行来自客户端的邮件提交。
提炼:
- 留言提交
3.1. 提交标识
端口 587 保留用于提交本文档中指定的电子邮件消息。在此端口上接收的消息被定义为提交。使用的协议是 ESMTP [SMTP-MTA, ESMTP],这里有额外的限制。
虽然大多数电子邮件客户端和服务器可以配置为使用端口 587 而不是 25,但在某些情况下这是不可能或不方便的。站点可以选择使用端口 25 进行消息提交,通过将一些主机指定为 MSA 将其他主机指定为 MTA。
关于端口 587 上的 POP3、IMAP 和邮件提交,您可以通过将服务器配置为拒绝未使用 TLS 加密的连接,在标准端口 110、143、587 上强制加密。(强烈建议这样做)。
| 归档时间: |
|
| 查看次数: |
1274 次 |
| 最近记录: |