/etc/services secure ports für SMTP

[inne]

Hallo,

was ist der secure port für smtp? In /etc/services/ gibt es sowol ssmtp als auch smtps. Welche Bezeichnung ist hier zu setzen, denn da scheint es etwas verwirrend zu sein mit den Ports.
Z.Z. läuft das mit STARTTLS via Port 587 submission :-/ Ich bin verwirrt. Aus der Wikipedia weiss ich das hier Historischgewachsenes Kauderwelsch entstanden ist.

Ich möchte gern die Bezeichnung statt der Portnummer (Die ich nicht einmal kenne) bei iptables angeben. Und anschließend mein Setup und nicht die Firewall anpassen.

[bluestar]

Das kommt auf den Einsatzzweck deiner Firewall an, aber mal unabhängig davon eine kurze Übersicht über die (s)SMTP(s) Ports:

* 25 TCP (mit oder ohne STARTTLS)
* 465 TCP (mit SSL)
* 587 TCP (mit STARTTLS)

Willst du beispielsweise aus deinem LAN ins Netz Mail freigeben, so würde ich 465 und 587 freigeben.

[inne]

* 465 TCP (mit SSL)

Darum gings mir. Allerdings wird der als urd in der services geführt:
urd 465/tcp ssmtp smtps # URL Rendesvous Directory for SSM

Aber jetzt habe ich noch allg. eine Frage dazu:
Bei SMTP via Port 25 ist STARTTLS optional, also wenns nicht verfügbar ist, wird auch ohne TLS verbunden und dann ist die Anmeldung (genauer Komunikation) wieder im Klartext sprich unsicher. So ist mein Wissenstand, das habe ich so mal iwo gelesen.
Wie ist das bei submission, wird da immer zwingend via STARTTLS/TLS verbunden? Weil dann kanns auch so bleiben wies ist...

[bluestar]

Wie ist das bei submission, wird da immer zwingend via STARTTLS/TLS verbunden? Weil dann kanns auch so bleiben wies ist...

Ich würde bei STARTTLS immer davon ausgehen das es optional ist, jeder kann das STARTTLS Announcement als MITM manipulieren und somit die Verschlüsselung aushebeln.

[killerbees19]

Jein, ein guter Client besteht auf das, wofür er konfiguriert wurde. Wenn es das dann plötzlich nicht gibt, wird abgebrochen.


MfG Christian

[Dimejo]

Wie ist das bei submission, wird da immer zwingend via STARTTLS/TLS verbunden? Weil dann kanns auch so bleiben wies ist...

Der MTA muss AUTH unterstützen, STARTTLS ist optional. Allerdings wird bei vielen Servern AUTH erst nach dem STARTTLS angeboten.

Code: Alles auswählen

ich@client:~$ telnet smtp.gmail.com 587
Trying 74.125.206.108...
Connected to smtp.gmail.com.
Escape character is '^]'.
220 smtp.gmail.com ESMTP e133sm10749581wma.6 - gsmtp
EHLO test.example.com
250-smtp.gmail.com at your service, [144.76.63.241]
250-SIZE 35882577
250-8BITMIME
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-CHUNKING
250 SMTPUTF8

Code: Alles auswählen

ich@client:~$ openssl s_client -quiet -host smtp.gmail.com -port 587 -starttls smtp
depth=3 C = US, O = Equifax, OU = Equifax Secure Certificate Authority
verify return:1
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify return:1
depth=1 C = US, O = Google Inc, CN = Google Internet Authority G2
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google Inc, CN = smtp.gmail.com
verify return:1
250 SMTPUTF8
EHLO test.example.com
250-smtp.gmail.com at your service, [144.76.63.241]
250-SIZE 35882577
250-8BITMIME
250-AUTH LOGIN PLAIN XOAUTH2 PLAIN-CLIENTTOKEN OAUTHBEARER XOAUTH
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-CHUNKING
250 SMTPUTF8

[Meillo]

587 (Mail Submission) ist fuer den Uebergang vom MUA in das Mail-Transfer-System da. Dafuer wird heutzutage quasi ueberall eine Art von Authentifizierung gefordert, denn sonst koennte man Mail ueber fremde Mailaccounts verschicken. Weil man fuer die Uebertragung der Login-Daten eine Verschluesselung (mittels STARTTLS) erfordern will, hat man dafuer einen separaten Port (naemlich 587) eingerichtet.

25 (SMTP) ist der Port fuer den Mailtransfer, also von Mailserver zu Mailserver. Ueblicherweise nimmt der Mailserver auf diesem Port nur Mails an fuer die er die Zieladresse verwaltet. (Heutzutage leitet man ueber Port 25 nicht mehr weiter.) Eine Authentifizierung ist hier unsinnig. Und aus Kompatibilitaetsgruenden nimmt unverschluesselt eingehende Mails lieber an als sie abzuweisen. Darum ist STARTTLS hier optional.

465 (SMTPS) ist veraltet. Das ist technisch durch STARTTLS ersetzt worden. Aber weil Email so grundlegend ist, versucht man Legacy-Systeme moeglichst lange zu unterstuetzen, darum ist der SMTPS noch nicht ausgestorben.

Soviel mal von meinem Halbwissen.

Die zugehoerigen RFCs muesst ihr euch selber raussuchen.