Сегментация списка адресов электронной почты — один из современных маркетинговых методов, позволяющий компаниям привлекать целевую аудиторию. Компании со своими продуктами и услугами...
Основные выводы
- Порты SMTP контролируют отправку электронных писем с клиентских компьютеров и приложений на почтовые серверы, что делает их необходимыми для установления безопасных и надежных почтовых соединений.
- Порт 587 — это рекомендуемый SMTP-порт для отправки электронной почты на сегодняшний день, поскольку он поддерживает аутентификацию и шифрование STARTTLS и широко используется почтовыми провайдерами.
- Надежная защита SMTP зависит от нескольких ключевых принципов: обязательное использование TLS-шифрования для всех соединений, использование аутентифицированной отправки электронной почты (SMTP AUTH), поддержание актуальности SSL/TLS-сертификатов, внедрение стандартов аутентификации, таких как SPF, DKIM и DMARC, а также мониторинг активности SMTP для раннего выявления проблем безопасности или неправильных настроек.
- К распространённым проблемам с SMTP-портами относятся таймауты подключения, сбои аутентификации, блокировка портов интернет-провайдером или брандмауэром, а также проблемы согласования TLS, такие как ошибки сертификатов, несоответствие протоколов или неподдерживаемые наборы шифров.
Каждый день более 370 миллиарда писем Несмотря на то, что электронные письма постоянно распространяются по интернету, мало кто задумывается об инфраструктуре, которая обеспечивает этот непрерывный поток коммуникации. В основе всего этого лежит протокол Simple Mail Transfer Protocol (SMTP), стандартный протокол, отвечающий за отправку электронных писем с клиентского приложения отправителя на почтовый сервер, а затем на сервер получателя.
SMTP-порт — это сетевая конечная точка, обеспечивающая это соединение. В электронной почте порт определяет, как клиент или приложение взаимодействует с почтовым сервером и какие механизмы безопасности, такие как... шифрование В процессе обработки данных применяются процедуры аутентификации и проверки подлинности. Именно поэтому используемый вами SMTP-порт имеет значение как для доставки, так и для безопасности. Неправильный порт может привести к сбоям соединения, блокировке сообщений или снижению уровня защиты во время передачи, в то время как правильная конфигурация обеспечивает надежную и безопасную доставку электронной почты.
Сегодня наиболее часто используемые SMTP-порты — это 25, 465, 587 и 2525. В этом руководстве мы объясним, как работает каждый из них и как выбрать подходящий для безопасной и надежной доставки электронной почты.
Давай погрузимся.
Вот краткое справочное руководство по портам SMTP:
✔ Порт 25: стандартный порт SMTP для ретрансляции электронной почты с сервера на сервер (обычно блокируется из-за проблем со спамом).
✔ Порт 587: безопасный порт по умолчанию для отправки электронной почты (рекомендуется).
✔ Порт 465: устаревший порт SMTPS (использовать только при необходимости).
✔ Порт 2525: Альтернативный порт, когда другие порты заблокированы.
Понимание основ SMTP
Что такое SMTP и как он работает?
Simple Mail Transfer Protocol (SMTP) — это интернет-стандарт для передачи электронной почты.
Разработанный в начале 1980-х годов протокол SMTP служит основой для перемещения электронных писем по сетям от отправителя к получателю.
Представьте себе функции SMTP как эстафету:
- Составление: вы пишете электронное письмо в своем клиенте (например, Gmail, Outlook или Apple Mail).
- Отправка: Ваш почтовый клиент отправляет сообщение на SMTP-сервер.
- Ретрансляция: SMTP-сервер определяет, куда отправить следующее сообщение.
- Доставка: После потенциального прохождения через несколько SMTP-серверов сообщение достигает почтового сервера получателя.
- Извлечение: Получатель получает доступ к сообщению, используя такие протоколы, как POP3 или IMAP.
Иллюстрация, демонстрирующая простой процесс отправки электронного письма через Интернет (Создать > SMTP-сервер > Доставить на почтовый сервер получателя, а затем прочитать)
Чтобы визуализировать этот процесс, представьте, что вы отправляете физическое письмо:
- Вы (клиент электронной почты) пишете письмо и бросаете его в почтовый ящик (отправка по SMTP)
- Почтовая служба (SMTP-ретранслятор) направляет ваше письмо через различные сортировочные центры.
- В конце концов письмо поступает в местное почтовое отделение получателя (сервер входящей почты).
- Получатель проверяет свой почтовый ящик (POP3/IMAP) и извлекает ваше письмо.
Эволюция SMTP-портов
Когда в 1982 году протокол SMTP был впервые стандартизирован, безопасность электронной почты не была главной проблемой.
Интернет был гораздо меньшей, более надежной сетью, которая в основном использовалась академическими и исследовательскими институтами.
Поэтому исходная спецификация SMTP не имела встроенных механизмов безопасности — электронные письма передавались как обычный текст, без шифрования или надежной аутентификации.
Однако этот недостаток безопасности стал проблемой по мере развития Интернета, когда электронная почта превратилась в важнейший инструмент коммуникации для предприятий и частных лиц.
Некоторые ключевые проблемы безопасности традиционного SMTP включают:
- Передача открытого текста: сообщения могут быть перехвачены и прочитаны.
- Отсутствие шифрования: конфиденциальные данные были уязвимы
- Ограниченная аутентификация: легко подделать личность отправителя
- Потенциал открытой ретрансляции: серверы могут быть использованы для рассылки спама.
Со временем были разработаны расширения и усовершенствования SMTP для устранения этих недостатков:
- SMTP AUTH: предоставленные механизмы аутентификации
- STARTTLS: Добавлена поддержка шифрования на транспортном уровне
- SMTPS: реализовано шифрование SSL/TLS на протяжении всего соединения.
Что такое порты и почему они важны?
Иллюстрация значков, представляющих различные порты электронной почты, и причины их использования
В сетевых технологиях порт — это логическая конечная точка связи.
Представьте себе порты как специализированные входы в компьютерную систему, каждый из которых обслуживает определённый тип трафика. Порты идентифицируются числами от 0 до 65535.
Для SMTP-связи назначены определенные порты:
- Порт 25: исходный порт SMTP
- Порт 465: изначально предназначен для SMTPS (SMTP через SSL)
- Порт 587: современный порт отправки сообщений
- Порт 2525: альтернативный порт, используемый при блокировке стандартных портов.
Выбор порта влияет на:
- Безопасность: разные порты предлагают разные уровни шифрования и аутентификации.
- Возможность доставки: интернет-провайдеры могут блокировать определенные порты для предотвращения спама.
- Совместимость: не все службы электронной почты поддерживают все порты.
- Функциональность: некоторые порты предназначены для определенных целей в экосистеме электронной почты.
Понимание этих различий имеет решающее значение для создания надежных и безопасных систем электронной почты.
Основные порты SMTP: историческая перспектива
Итак, почему именно эти порты и почему они различаются? Почему бы не создать один защищённый порт специально для электронной почты, которым все пользуются? Давайте разберёмся.
Порт 25: Оригинальный стандарт
Порт 25 был установлен в качестве стандартного порта SMTP в 1982 году, когда протокол был впервые определен Инженерной группой Интернета (IETF).
В течение многих лет он служил портом по умолчанию для всего SMTP-трафика, как для отправки писем от клиентов на серверы, так и для ретрансляции между серверами.
Реализация порта 25 началась в 1982 году с запроса, поданного Университетом Южной Калифорнии в Целевую группу по инжинирингу Интернета (IETF).
В то время основное внимание уделялось созданию стандартизированного канала связи для передачи электронной почты с базовой защитой от атак, таких как перехват «человек посередине».
Сегодня роль порта 25 значительно сузилась. Его основные функции теперь ограничены:
- Связь между серверами: агенты пересылки почты (MTA) используют порт 25 для ретрансляции сообщений между почтовыми серверами.
- Поддержка устаревших систем: некоторые старые системы электронной почты по-прежнему используют порт 25.
Простое telnet-подключение к SMTP-серверу через порт 25 может выглядеть следующим образом:
> telnet smtp.example.com 25Trying 192.0.2.1…
Connected to smtp.example.com.
Escape character is ‘^]’.
220 smtp.example.com ESMTP Postfix
> EHLO client.example.com
250-smtp.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Обратите внимание на строку 250-STARTTLS, указывающую, что этот сервер поддерживает шифрование с помощью команды STARTTLS, но это не обязательно.
Однако, учитывая это, порт 25 имеет несколько существенных ограничений безопасности:
- Шифрование не требуется: по умолчанию связь через порт 25 не шифруется.
- Необязательный STARTTLS: шифрование поддерживается, но не является обязательным.
- Уязвимость к перехвату: текстовые сообщения можно легко прочитать, если их перехватить.
- Вектор спама: исторически использовался для рассылки спам-писем.
Из-за этих проблем, особенно из-за их использования спамерами, многие интернет-провайдеры (ISP) и провайдеры облачного хостинга теперь блокируют исходящий трафик через порт 25 от своих клиентов.
Такая блокировка помогает предотвратить использование скомпрометированных систем для распространения спама.
Если у вас возникли проблемы с подключением к порту 25, вероятно, ваш интернет-провайдер его блокирует. В ходе простого теста вы можете увидеть:
> telnet smtp.example.com 25Trying 192.0.2.1…
telnet: Unable to connect to remote host: Connection timed out
Эта блокировка настолько распространена, что порт 25 больше не следует использовать для отправки сообщений через почтовые клиенты. Вместо этого его следует зарезервировать исключительно для межсерверного взаимодействия.
Порт 465: порт неявного шифрования SSL/TLS
Порт 465 имеет, пожалуй, самую запутанную историю среди портов SMTP.
В середине 1990-х годов, когда потребность в шифровании электронной почты стала очевидной, Управление по распределению адресов в Интернете (IANA) на короткое время выделило порт 465 для «SMTPS» — SMTP через SSL.
Однако это назначение было недолгим.
Примерно в 1997 году IETF принял решение об использовании другого подхода к обеспечению безопасности SMTP: добавлении команды STARTTLS в сам протокол SMTP, что позволило бы согласовывать шифрование по существующим портам.
В результате официальное назначение порта 465 на SMTPS было отменено всего через год.
Несмотря на официальное прекращение поддержки, многие почтовые сервисы уже внедрили поддержку порта 465, и он продолжал широко использоваться. Это привело к тому, что порт 465 использовался на практике, хотя официально он больше не был предназначен для SMTP.
Неявная функциональность TLS
Порт 465 использует так называемый «неявный TLS» или «неявный SSL»:
- Соединение начинается немедленно с согласования SSL/TLS.
- Никакая часть коммуникации не передается в виде открытого текста.
- Если согласование TLS не удается, соединение разрывается.
- Все последующие команды SMTP отправляются по зашифрованному каналу.
Этот подход аналогичен тому, как работает HTTPS в Интернете — защищенное соединение устанавливается до передачи каких-либо данных приложения.
Вот упрощенная схема связи для порта 465:
- Клиент инициирует подключение к серверу через порт 465
- Происходит рукопожатие SSL/TLS
- После успешного рукопожатия начинается SMTP-коммуникация.
- Все команды и данные SMTP зашифрованы.
Сегодня порт 465 находится в любопытном состоянии:
- Он официально не признан IETF для SMTP.
- Он широко поддерживается поставщиками услуг электронной почты.
- Его рекомендуют некоторые поставщики услуг электронной почты для потребителей.
- Обеспечивает надежную безопасность благодаря неявному подходу TLS.
Порт 465 подходит для:
- Устаревшие системы, настроенные на использование SMTPS на этом порту
- Сценарии, в которых требуется максимальная защита от атак понижения версии
- Ситуации, когда поставщик услуг электронной почты специально рекомендует это
Управление по распределению адресов Интернета (Internet Assigned Numbers Authority) в настоящее время переназначило порт 465 другой службе («URL Rendezvous Directory for SSM»), хотя на практике он по-прежнему в основном используется для защищенного протокола SMTP.
Порт 587: современный порт для подачи
В 1998 году в документе RFC 2476 (позднее заменённом RFC 6409) была введена концепция выделенного порта для «отправки сообщений», отдельного от порта ретрансляции SMTP. Это разделение было обусловлено растущей потребностью различать два типа SMTP-трафика:
- Отправка сообщений: почтовые клиенты отправляют сообщения на свой почтовый сервер.
- Ретрансляция сообщений: почтовые серверы передают сообщения на другие почтовые серверы.
Порт 587 был назначен для отправки сообщений, что существенно отличало его от функции ретрансляции, выполняемой портом 25. Такое разделение позволило применять различные политики и требования безопасности к каждому типу трафика.
Возможности STARTTLS
Порт 587 использует «явный TLS» через команду STARTTLS. Вот как это работает:
- Клиент подключается к серверу через порт 587
- Сервер идентифицирует себя и выводит список поддерживаемых им расширений
- Клиент выдает команду STARTTLS
- Сервер отвечает, и начинается согласование TLS.
- После успешного согласования сеанс SMTP шифруется.
- Клиент обычно аутентифицируется с помощью SMTP AUTH.
- Отправка электронных писем происходит по зашифрованному каналу
Типичный сеанс SMTP с использованием порта 587 с STARTTLS может выглядеть следующим образом:
> telnet smtp.example.com 587Trying 192.0.2.1…
Connected to smtp.example.com.
Escape character is ‘^]’.
220 smtp.example.com ESMTP Postfix
> EHLO client.example.com
250-smtp.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
> STARTTLS
220 2.0.0 Ready to start TLS
… (TLS negotiation occurs) …
> EHLO client.example.com
250-smtp.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
> AUTH LOGIN
334 VXNlcm5hbWU6
dXNlcm5hbWU=
334 UGFzc3dvcmQ6
cGFzc3dvcmQ=
235 2.7.0 Authentication successful
Обратите внимание, что SMTP-соединение начинается с обычного текста, но переключается на шифрование TLS после ввода команды STARTTLS.
В большинстве случаев вашим выбором будет порт 587.
Он стал рекомендуемым стандартом для отправки электронных писем по нескольким веским причинам:
- Официальный стандарт: признан IETF как правильный порт для отправки сообщений.
- Широкая поддержка: большинство современных провайдеров электронной почты поддерживают порт 587.
- Совместимость с интернет-провайдерами: вероятность блокировки интернет-провайдерами ниже, чем у порта 25.
- Безопасность и гибкость: поддержка надежного шифрования с сохранением обратной совместимости.
- Требуемая аутентификация: обычно применяется SMTP AUTH, что снижает количество спама.
Для подавляющего большинства пользователей и организаций, настраивающих новые системы электронной почты, порт 587 должен быть выбором по умолчанию для отправки сообщений.
Порт 2525: альтернативный вариант
Порт 2525 не является официально назначенным SMTP-портом ни IANA, ни IETF. Он появился как практичная альтернатива в случае блокировки стандартных портов (25, 465 и 587) интернет-провайдерами или корпоративными сетями.
Функционально порт 2525 обычно работает идентично порту 587:
- Поддерживает STARTTLS для шифрования.
- Требуется аутентификация через SMTP AUTH.
- Используется для отправки сообщений, а не для ретрансляции.
Основное отличие — это просто номер порта, который помогает обойти сетевые ограничения.
Порт 2525 следует рассматривать в следующих сценариях:
- При подключении из сетей, блокирующих порты 25, 465 и 587
- В корпоративной среде со строгими политиками брандмауэра
- При использовании облачных провайдеров, которые ограничивают стандартные порты электронной почты
- Если у вас постоянно возникают проблемы с подключением к стандартным портам
Многие поставщики услуг электронной почты, включая Mailgun, SendGrid и другие, специально поддерживают порт 2525, чтобы предоставить своим клиентам этот запасной вариант.
Как выбрать правильный SMTP-порт с точки зрения безопасности
Иллюстрация разработчика, размышляющего над тем, какой порт электронной почты следует использовать в своем проекте.
Давайте поговорим о безопасности, поскольку с точки зрения разработчика это один из самых важных вопросов. Есть несколько вариантов.
STARTTLS (явный TLS)
STARTTLS, используемый в основном на портах 25 и 587, обеспечивает «оппортунистическое шифрование» с помощью следующих шагов:
- Соединение начинается незашифрованным.
- Клиент выдает команду STARTTLS
- Если сервер поддерживает это, шифрование согласовывается
- Связь продолжается в зашифрованном виде.
Преимущества:
- Обратная совместимость с серверами без TLS
- Работает с существующими портами и инфраструктурой
Минусы:
- Первоначальная коммуникация не зашифрована.
- Уязвим к атакам понижения версии, когда злоумышленник предотвращает команду STARTTLS
- Не все серверы требуют TLS, что позволяет использовать обычный текст в качестве резервного варианта.
Неявный TLS
Неявный TLS, используемый на порту 465, использует другой подход:
- Соединение начинается немедленно с согласования TLS.
- Если согласование TLS не удается, соединение разрывается.
- Никакой незашифрованной связи никогда не происходит.
Преимущества:
- Никакого текстового общения на любом этапе
- Невозможно перейти на незашифрованное соединение
- Более надежная защита от атак типа «человек посередине»
Минусы:
- Не имеет обратной совместимости с серверами, которые не поддерживают TLS.
- Не является официальным стандартным подходом IETF
Требования к аутентификации
Аутентификация — критически важный компонент безопасности, который подтверждает личность отправляющего клиента. Требования к аутентификации различаются в зависимости от порта:
Порт 25:
- Аутентификация часто необязательна
- Часто допускает неаутентифицированную ретрансляцию между серверами
- На некоторых серверах может быть разрешена анонимная отправка сообщений.
Порт 465:
- Обычно требуется аутентификация
- Обычно применяется после установки шифрования TLS.
- Редко позволяет отправлять анонимные сообщения.
Порт 587:
- Стандарт требует аутентификации
- Применяется после шифрования STARTTLS
- Специально разработано для аутентифицированной отправки
Порт 2525:
- Требования аутентификации соответствуют порту 587
- Требуется аутентификация для отправки сообщения
Стоит отметить, что современные почтовые серверы всегда должны требовать аутентификацию для отправки сообщений, независимо от порта, чтобы предотвратить злоупотребления.
| Характеристика | Порт 25 | Порт 465 | Порт 587 | Порт 2525 |
| Основное использование | Ретрансляция между серверами | Безопасная отправка сообщений | Отправка сообщения | Альтернативное представление |
| Тип шифрования | Необязательный STARTTLS | Неявный TLS | STARTTLS | STARTTLS |
| Первоначальное подключение | Незашифрованный | Зашифрованные | Незашифрованный | Незашифрованный |
| Риск атаки понижения рейтинга | Высокий | Низкий | Средний | Средний |
| Аутентификация | По желанию | необходимые | необходимые | необходимые |
| Вероятность блокировки интернет-провайдером | Высокий | Средний | Низкий | Низкий |
| Стандарт IETF | Да (для реле) | Нет | Да (для подачи) | Нет |
| Рекомендуем для | Только сервер-сервер | Устаревшие системы | Современные клиенты | Когда другие заблокированы |
Лучшие практики для максимальной безопасности электронной почты
Чтобы обеспечить максимальный уровень безопасности электронной почты при настройке SMTP:
- Всегда используйте шифрование:
- Настройте свои серверы так, чтобы они требовали TLS для всех подключений.
- Отключить аутентификацию с помощью простого текста
- Используйте надежные версии TLS (TLS 1.2 или выше)
- Внедрите строгую аутентификацию:
- Требовать SMTP AUTH для всех отправляемых сообщений
- Используйте безопасное хранилище паролей (хеширование с солью)
- Рассмотрите возможность внедрения двухфакторной аутентификации для учетных записей электронной почты.
- Будьте в курсе новых сертификатов:
- Используйте доверенные сертификаты, подписанные CA
- Регулярно обновляйте сертификаты SSL/TLS
- Мониторинг уязвимостей сертификатов
- Настройте правильные заголовки и политики:
- Реализуйте SPF, DKIM и DMARC для аутентификации
- Установите соответствующие заголовки HSTS
- Настройте почтовые серверы на отклонение незашифрованных соединений.
- Мониторинг и аудит:
- Регистрировать все SMTP-транзакции
- Регулярно проверяйте журналы на предмет подозрительной активности.
- Периодически проверяйте конфигурацию безопасности вашей электронной почты.
Как настроить SMTP-порты
Иллюстрация разработчика, размышляющего над наилучшим способом настройки портов SMTP для отправки электронной почты.
Теперь выбираем порты, которые лучше всего подходят для вашего проекта. Мы можем разбить их по вариантам использования, чтобы вы могли найти оптимальный вариант.
Для индивидуальных пользователей и почтовых клиентов
Если вы настраиваете почтовый клиент, такой как Outlook, Apple Mail или Thunderbird:
- Первый выбор: порт 587 с STARTTLS
- Широко поддерживается и наименее подвержен блокировкам
- Пример конфигурации Gmail в Outlook:
- Сервер исходящей почты: smtp.gmail.com
- Порт: 587
- Шифрование: STARTTLS
- Аутентификация: Да, с именем пользователя и паролем
- Второй вариант: порт 465 с SSL/TLS
- Если ваш провайдер конкретно рекомендует это
- Пример конфигурации для Yahoo Mail:
- Сервер исходящей почты: smtp.mail.yahoo.com
- Порт: 465
- Шифрование: SSL/TLS
- Аутентификация: Да, с именем пользователя и паролем
- Крайний вариант: порт 2525 с STARTTLS
- Только если заблокированы порты 587 и 465
- Не все провайдеры поддерживают этот порт, поэтому проверьте документацию.
Для бизнес-приложений и отправителей больших объемов данных
Для заявок на отправку транзакционных или маркетинговых писем:
Рекомендуется: порт 587
- Лучший баланс доставляемости и безопасности
- Поддерживается всеми основными поставщиками услуг электронной почты
- Пример приложения Node.js с использованием Nodemailer:
const nodemailer = require(‘nodemailer’);let transporter = nodemailer.createTransport({
host: ‘smtp.example.com’,
port: 587,
secure: false, // true for 465, false for other ports
auth: {
user: ‘username’,
pass: ‘password’
},
tls: {
// do not fail on invalid certs
rejectUnauthorized: false
}
});
Альтернатива: Порт 465
- Для поставщиков, которые специально рекомендуют это
- Пример на PHP с использованием PHPMailer:
<?php
use PHPMailerPHPMailerPHPMailer;
require ‘vendor/autoload.php’;
$mail = new PHPMailer;
$mail->isSMTP();
$mail->Host = ‘smtp.example.com’;
$mail->SMTPAuth = true;
$mail->Username = ‘username’;
$mail->Password = ‘password’;
$mail->SMTPSecure = PHPMailer::ENCRYPTION_SMTPS; // SSL encryption
$mail->Port = 465;
?>
Резервный вариант: порт 2525
- При развертывании на платформах, блокирующих стандартные порты
- Пример на Python с использованием smtplib:
import smtplibimport ssl
from email.message import EmailMessage
msg = EmailMessage()
msg.set_content(“This is a test email.”)
msg[‘Subject’] = ‘Test Email’
msg[‘From’] = ‘[email protected]’
msg[‘To’] = ‘[email protected]’
context = ssl.create_default_context()
with smtplib.SMTP(‘smtp.example.com’, 2525) as server:
server.starttls(context=context)
server.login(‘username’, ‘password’)
server.send_message(msg)
Для связи между серверами
Для настройки почтового сервера, обрабатывающего ретрансляционный трафик:
Стандарт: порт 25
- Используется для связи MTA-MTA
- По возможности следует настраивать с помощью STARTTLS.
- Пример конфигурации Postfix в /etc/postfix/main.cf:
# Outgoing relay settingsrelayhost = [mail.example.com]:25
smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
Альтернатива, если порт 25 заблокирован: пользовательская настройка
- Некоторые провайдеры разрешают ретрансляцию на альтернативных портах
- Пример:
# Using alternative port for relayrelayhost = [mail.example.com]:587
smtp_tls_security_level = encrypt
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
Примеры конфигурации для распространенных почтовых серверов
Конфигурация Postfix (Linux)
Чтобы настроить Postfix для безопасной отправки SMTP-сообщений через порт 587:
- Редактировать /etc/postfix/master.cf:
# SMTP submission on port 587submission inet n – y – – smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_tls_auth_only=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
- Отредактируйте /etc/postfix/main.cf для настройки TLS:
# TLS parameterssmtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=may
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
- Перезапустить Postfix:
sudo systemctl restart postfix
Microsoft Exchange Server
Чтобы настроить Exchange Server для безопасной отправки SMTP:
- Откройте Центр администрирования Exchange
- Перейдите в раздел «Почтовый поток» > «Коннекторы получения».
- Создайте или отредактируйте соединитель для отправки клиенту
- Настройте соединитель для:
- Слушайте на порту 587
- Требовать TLS-шифрование
- Требовать аутентификацию
- Установите соответствующие группы разрешений (обычно «Пользователи Exchange»)
Тестирование подключения портов и устранение неполадок
Чтобы проверить подключение к SMTP-серверу через определенный порт, вы можете использовать простые инструменты командной строки:
Using Telnet:# Testing port 587
telnet smtp.example.com 587
# You should see something like:
Trying 192.0.2.1…
Connected to smtp.example.com.
Escape character is ‘^]’.
220 smtp.example.com ESMTP ready
Using OpenSSL for TLS testing:
# Testing STARTTLS on port 587
openssl s_client -starttls smtp -crlf -connect smtp.example.com:587
# Testing implicit TLS on port 465
openssl s_client -connect smtp.example.com:465
Using a dedicated SMTP testing tool like swaks:
# Basic SMTP test with authentication
swaks –server smtp.example.com –port 587 –tls –auth-user username –auth-password password –to [email protected] –from [email protected]
Распространенные проблемы с портом SMTP и их решения
Тайм-ауты соединения и сбои аутентификации
Проблема: тайм-ауты соединения
Симптомы:
- Не удалось установить соединение с SMTP-сервером
- Клиент сообщает об ошибках «время ожидания соединения истекло»
- Отправка электронной почты, похоже, зависает на неопределенный срок
Возможные причины:
- Интернет-провайдер или сеть блокируют порт
- Ограничения брандмауэра
- Сервер не работает или недоступен
- Неверный адрес сервера
Решения:
- Попробуйте альтернативный порт (587, 465 или 2525)
- Проверьте настройки брандмауэра и сетевые политики.
- Проверьте правильность адреса сервера.
- Протестируйте в другой сети, чтобы изолировать проблемы блокировки со стороны интернет-провайдера.
- Увеличьте настройки времени ожидания соединения в вашем почтовом клиенте.
Проблема: сбои аутентификации
Симптомы:
- Соединение установлено, но аутентификация не удалась
- Сообщения об ошибках типа «535 Ошибка аутентификации» или «Неверное имя пользователя/пароль»
- Невозможно отправить почту, несмотря на успешное подключение
Возможные причины:
- неправильное имя пользователя или пароль
- Несоответствие метода аутентификации
- Ограничения учетной записи или политики безопасности
- Требования TLS/SSL не были выполнены до аутентификации
Решения:
- Проверьте правильность и актуальность учетных данных.
- Проверьте, какие методы аутентификации поддерживает сервер (PLAIN, LOGIN, CRAM-MD5)
- Перед аутентификацией убедитесь, что шифрование настроено правильно.
- Для учетных записей Google и Microsoft вам может потребоваться пароль для конкретного приложения или для включения менее защищенных приложений.
- Проверьте наличие ограничений по учетной записи или IP-адресу
Блокировка портов интернет-провайдерами и сетями
Блокировка портов становится все более распространенной, особенно порта 25:
Выявление блокировки портов
Признаки блокировки портов:
- Постоянно происходят тайм-ауты соединения
- Другие интернет-сервисы работают нормально.
- Проблема сохраняется в разных почтовых клиентах.
- Проблемы возникают в одной сети, но не в других
Тестирование на блокировку портов:
# Use telnet to test connectivitytelnet smtp.example.com 25
# If blocked, you’ll see no response or a timeout
# If open, you’ll see the server’s greeting banner
Решения для блокировки портов
- Переключитесь на альтернативный порт:
- Попробуйте порт 587 для отправки сообщения.
- Если это не поможет, попробуйте порт 465.
- В крайнем случае попробуйте Порт 2525.
- Используйте VPN или другую сеть:
- Политики мобильных сетей могут отличаться от политик домашних интернет-провайдеров.
- Корпоративные сети могут маршрутизироваться через смарт-хост
- Свяжитесь со своим интернет-провайдером:
- Некоторые интернет-провайдеры разблокируют порт 25 для корпоративных клиентов.
- Будьте готовы объяснить вашу законную потребность
- Используйте смарт-хост или реле:
- Настройте свой почтовый сервер для ретрансляции через SMTP-сервер вашего интернет-провайдера.
- Используйте сторонний сервис доставки электронной почты
Проблемы согласования TLS
Проблемы TLS могут быть неявными и сложными для устранения:
Распространенные проблемы TLS
- Ошибки проверки сертификата:
- Срок действия сертификата сервера истек
- Сертификат не выдан доверенным органом
- Имя хоста сертификата не соответствует имени сервера
- Клиент и сервер не могут договориться о наборах шифров
- Несоответствия версий протокола:
- Клиент использует более новую версию TLS, чем поддерживает сервер
- Серверу требуется более новая версия TLS, чем та, которую поддерживает клиент
- Устаревшие реализации TLS с уязвимостями
Диагностика проблем TLS
Используйте OpenSSL для проверки подтверждения TLS:
# For port 587 with STARTTLSopenssl s_client -starttls smtp -connect smtp.example.com:587 -tls1_2
# For port 465 with implicit TLS
openssl s_client -connect smtp.example.com:465 -tls1_2
# Look for these in the output:
# – Certificate information and expiration
# – Certificate chain validation
# – TLS version and cipher used
Решение проблем TLS
- Серверные решения:
- Обновление сертификатов SSL/TLS
- Настройте правильные цепочки сертификатов
- Поддержка современных версий TLS (1.2, 1.3)
- Отключить небезопасные наборы шифров
- Клиентские решения:
- Обновите почтовый клиент или библиотеки для поддержки современного TLS.
- Настройте клиент на доверие к центру сертификации сервера.
- При необходимости измените параметры безопасности TLS.
- Временные обходные пути (используйте с осторожностью):
- Отключить проверку сертификатов только для тестирования
- Попробуйте разные версии TLS, чтобы выявить проблемы совместимости.
Помимо SMTP: связанные протоколы электронной почты
Кто-то сидит за компьютером, на котором стрелки указывают на значки SMTP, IMAP и POP3.
SMTP — не единственная система, связанная с электронной почтой, и важно понимать принципы работы остальных компонентов, чтобы создавать эффективные, устойчивые и производительные системы. Вот краткое руководство по некоторым другим факторам, которые вам необходимо знать.
В то время как SMTP обрабатывает отправку электронной почты, для ее получения требуются другие протоколы:
POP3 (Почтовый протокол версии 3)
POP3 — один из старейших протоколов получения электронной почты:
- Функция: Загрузка сообщений с сервера на клиент.
- Порты по умолчанию: 110 (незашифрованный) и 995 (SSL/TLS)
- Поведение: Обычно удаляет сообщения с сервера после загрузки.
- Лучше всего подходит для: доступа с одного устройства с ограниченным объемом хранилища на сервере
Простой сеанс POP3 может выглядеть так:
> telnet mail.example.com 110+OK POP3 server ready
> USER username
+OK
> PASS password
+OK Logged in
> LIST
+OK 2 messages
1 1425
2 32360
> RETR 1
+OK 1425 octets
(… message content …)
> QUIT
+OK Logging out
IMAP (протокол доступа к сообщениям в Интернете)
IMAP — более сложный протокол для доступа к почтовым ящикам:
- Функция: Синхронизирует сообщения между сервером и клиентами.
- Порты по умолчанию: 143 (незашифрованный) и 993 (SSL/TLS)
- Поведение: сохраняет сообщения на сервере, обеспечивая доступ с нескольких устройств.
- Лучше всего подходит для: нескольких устройств, получающих доступ к одному почтовому ящику.
Сеанс IMAP может начаться:
> telnet mail.example.com 143* OK IMAP4rev1 Server Ready
> A001 LOGIN username password
* OK Logged in
> A002 SELECT INBOX
* 18 EXISTS
* 2 RECENT
* OK [UNSEEN 17] Message 17 is first unseen
* OK [UIDVALIDITY 1428913542] UIDs valid
* FLAGS (Answered Flagged Deleted Seen Draft)
* OK [PERMANENTFLAGS (Answered Flagged Deleted Seen Draft *)] Limited
A002 OK [READ-WRITE] SELECT completed
Как эти протоколы взаимодействуют с SMTP
Полный путь электронной почты включает в себя взаимодействие нескольких протоколов:
- Составление и отправка (SMTP):
- Пользователь пишет электронное письмо
- Клиент электронной почты отправляет данные через SMTP на сервер отправки
- Сообщение передается через SMTP на почтовый сервер получателя.
- Хранение и извлечение (POP3/IMAP):
- Сервер получателя сохраняет входящее сообщение
- Получатель подключается к своему почтовому ящику, используя протокол POP3 или IMAP.
- Сообщения загружаются (POP3) или синхронизируются (IMAP)
- Ответ (снова SMTP):
- Получатель отвечает на сообщение
- Их клиент отправляет ответ через SMTP
- Цикл продолжается
Конфигурации портов для полноценной системы электронной почты
Для комплексной настройки почтового сервера требуется несколько портов:
| Cервис | протокол | Незашифрованный порт | Зашифрованный порт | Метод шифрования |
| Отправка почты | SMTP (ретрансляция) | 25 | 25 | STARTTLS |
| Отправка по почте | SMTP | 587 | 587 | STARTTLS |
| Безопасная отправка | SMTPS | ARCXNUMX | 465 | Неявный TLS |
| Получение почты | POP3 | 110 | 995 | Неявный TLS |
| Доступ к почте | IMAP | 143 | 993 | Неявный TLS |
Для настройки полноценного почтового сервера необходимо соответствующим образом настроить все эти порты для обеспечения функциональности отправки и получения.
Подведение итогов
После изучения сложностей портов SMTP можно выделить несколько четких рекомендаций:
- Порт 587 остается рекомендуемым стандартом для отправки электронной почты:
- Обеспечивает безопасную передачу через STARTTLS
- Он широко поддерживается и реже блокируется.
- Он соответствует установленным стандартам IETF.
- Порт 25 следует зарезервировать исключительно для связи между серверами:
- Он часто блокируется для клиентских подключений.
- Во многих реализациях отсутствует обязательная безопасность.
- Это стандартный порт для передачи почты между серверами.
- Порт 465 служит альтернативой для безопасной отправки:
- Он предлагает неявный TLS, который предотвращает атаки понижения версии.
- Это может потребоваться для устаревших систем.
- Обеспечивает хорошую безопасность, но не является стандартом IETF.
- Порт 2525 работает как запасной вариант:
- Он обходит распространенные блокировки портов.
- Он не стандартизирован, но широко поддерживается.
- Его следует использовать только в случае, если стандартные порты недоступны.
Для разных пользователей электронной почты мы рекомендуем следующие порты:
Для индивидуальных пользователей:
- Настройте почтовые клиенты на использование порта 587 с STARTTLS
- Убедитесь, что включена правильная аутентификация.
- Используйте порт 465 только в том случае, если это специально рекомендовано вашим провайдером электронной почты.
Для администраторов корпоративной электронной почты:
- Настройте почтовые серверы для приема сообщений через порт 587.
- Требовать TLS-шифрование и аутентификацию
- Используйте порт 25 только для ретрансляции между серверами с включенным TLS.
- Поддерживайте все меры безопасности и сертификаты в актуальном состоянии.
Для разработчиков, интегрирующих функционал электронной почты:
- Используйте порт 587 как порт SMTP по умолчанию.
- Включить резервные варианты для других портов (465, 2525)
- Всегда используйте аутентификацию и шифрование
- Будьте в курсе лучших практик обеспечения безопасности
Для поставщиков услуг электронной почты:
- Поддержка портов 587 и 465 для максимальной совместимости.
- Предложить порт 2525 как запасной вариант
- Обеспечить надежную безопасность всех портов
- Будьте в курсе новых стандартов и методов обеспечения безопасности
Следуя этим рекомендациям и оставаясь в курсе событий, вы можете гарантировать, что ваша инфраструктура электронной почты останется безопасной и надежной, успешно доставляя сообщения и защищая конфиденциальную информацию от перехвата или компрометации.
Электронная почта остается одним из важнейших инструментов коммуникации, и понимание тонкостей портов SMTP необходимо любому, кто управляет системами электронной почты.
Рассмотренные нами протоколы и порты отражают десятилетия эволюции интернет-стандартов, адаптируясь к растущим угрозам безопасности и сохраняя при этом совместимость, которая делает электронную почту столь универсальной.
