Postfix SMTP и путаница представления

Я настроил постфикс, чтобы почтовые клиенты использовали порт 465 (smtps) для исходящей почты. Я не очень понимаю разницу между smtps (порт 465) и отправкой (порт 587)

Какова «лучшая практика» при настройке postfix для клиентов для безопасной отправки почты? Просто использовать SMTP? Или использовать оба представления и SMTP?

Порт 465 использовался для SMTP-соединений, защищенных с помощью SSL. Однако использование этого порта для SMTP устарело с наличием STARTTLS: «Отзыв порта TCP SMTP». В эти дни вам больше не следует использовать порт 465 для SMTPS. Вместо этого используйте порт 25 для получения почты для вашего домена с других серверов или порт 587 для получения электронной почты от клиентов, которым необходимо отправлять почту через ваш сервер в другие домены и, следовательно, на другие серверы.

Как дополнительное примечание, порт 587, однако, предназначен для отправки почты - и отправка почты предназначена для изменения сообщения и / или обеспечения аутентификации:

• предлагая и требуя аутентификацию для клиентов, которые пытаются отправить почту
• обеспечение механизмов безопасности для предотвращения отправки нежелательных массовых писем (спам) или зараженных писем (вирусов и т. д.)
• изменить почту для нужд организации (переписать с части и т. д.)

Предполагается, что передача на порт 587 поддерживает STARTTLS и, следовательно, может быть зашифрована. Смотрите также RFC # 6409 .

TL; DR

Новая рекомендация заключается в поддержке обоих представленных материалов / SMTPS и представления с STARTTLS до поры до времени, снятия позже , когда он не используется больше. (Те же рекомендации применимы и для POP3 против POP3S и IMAP против IMAPS.)

Детали

Лучшая практика изменилась с RFC 8314 Раздел 3.3 :

Когда для службы «отправки» установлено TCP-соединение (порт 465 по умолчанию), квитирование TLS начинается немедленно. [...]

Механизм STARTTLS на порту 587 относительно широко развернут из-за ситуации с портом 465 (обсуждается в разделе 7.3). Это отличается от услуг IMAP и POP, где неявный TLS более широко развернут на серверах, чем STARTTLS. Желательно , чтобы мигрировать основных протоколов , используемых программным обеспечением MUA для неявных TLS с течением времени, по консистенции, а также для дополнительных причин , обсуждаемых в приложении А . Однако, чтобы максимально использовать шифрование для отправки, желательно поддерживать оба механизма для передачи сообщений по TLS в течение переходного периода в несколько лет. В результате клиенты и серверы ДОЛЖНЫ реализовать STARTTLS на порту 587 и неявный TLS на порту 465 для этого переходного периода., Обратите внимание, что нет существенной разницы между свойствами безопасности STARTTLS на порту 587 и Неявным TLS на порту 465, если реализации верны и если и клиент, и сервер настроены так, чтобы требовать успешного согласования TLS перед отправкой сообщения.

Затем в цитируемом Приложении A подробно рассматривается решение о предпочтении неявного TLS для всех SMTP, POP3 и IMAP, поскольку эти основные моменты

1. В любом случае мы хотим, чтобы везде были только зашифрованные соединения, поэтому нет смысла поддерживать обратно-совместимую версию всех этих протоколов, когда на практике эта совместимость не используется.
2. Были этапы согласования STARTTLS из-за идентичных проблем в нескольких реализациях