RFC 標準では、文字通りポート で暗号化されていない接続を受け入れるように強制されています25。その理由を理解するには、電子メールの仕組みを理解する必要があります。しかし、電子メールは非常に複雑なトピックであるため、すべてを理解できるように、この例と表を作成しました。
どなたか読んで、説明のどこかに間違いがあれば教えてください。このトピックについての私の理解が正しいかどうかよくわからないからです。
例
ユーザー(送信者)がメールを送信すると「メール ユーザー エージェント」 (MUA)の場合、このメールはすぐに「メール送信エージェント」(MSA)は別のマシン上にあるか、そうでないかに関係なく、MSAは電子メールを前処理して、「メール転送エージェント」(MTA) は同じマシン上に存在します。MTA (送信者) は DNS を使用して、どの MTA (受信者) に電子メールを送信するかを決定します。トランスポートのこの部分はポート経由でのみ実行されます25。MTA (受信者) が電子メールを受信すると、同じマシン上の MSA にその電子メールが渡され、ユーザー (受信者) は MUA を使用して電子メールを読むことができます。
MUA と MSA 間および MSA と MTA 間の通信ではセキュア ポートを使用できますが、MTA と MTA 間の接続では使用できません。下の表は、上記の例の各ステップで使用されている、または使用できるプロトコルと、使用できるポートを示しています。また、選択肢がある場合は、最新のセットアップで使用すべきものを示すために ✘ と ✔ を使用します。
| # | 送信者 | 受信機 | 使用できるプロトコル | 各プロトコルのポート |
|---|---|---|---|---|
| 1 | メイクアップアーティスト | MSA | (✘) SMTP (✔) SMTPS |
(✘) 25(✔) 587 |
| 2 | MSA | インド | (✘) SMTP (✔) SMTPS |
(✘) 25(✔) 587 |
| 3 | インド | インド | (✔) SMTP | (✔)25 |
| 4 | インド | MSA | (✔) SMTP | (✔)25 |
| 5 | MSA | メイクアップアーティスト | (✘) POP3 (✘) POP3S (✘) IMAP (✔) IMAPS |
(✘) 110(✘) 995(✘) 143(✔) 993 |
答え1
これは、ポートが暗号化と何らかの関係があるという誤解に基づいています。しかし、この誤解を正す機会を与えるので、これは良い質問だと思います。
ポートは暗号化を示すものではなく、さまざまな目的で使用されます。
- ポート
25はSMTPに使用されます(RFC 5321)メッセージリレーMTA 間。 - ポート
587はメッセージの送信(RFC 6409) を MUA から MSA へ移行します。 - これらは両方とも
STARTTLS(RFC 3207)。 - さらに、SMTP(MUAからMSAまで)をポートのTLS内にラップするSMTPSがあります
465。これは1997年に登録されましたが、STARTTLS標準化された1998年に取り消されました。しかし、20年後の2018年に、RFC 8314クリアテキストは古いものとみなされ、POP、IMAP、SMTP 送信に暗黙的な TLS が復活しました。
今日の電子メールのほとんどは、転送中(MTA間)に暗号化されている、とGoogle 透明性レポート。
MTA間の通信は、下位互換性のために暗号化されていない接続を承認する必要があるため、中間者が250-STARTTLS拡張機能のサポートを示す応答を削除することで接続をダウングレードすることは簡単です。ただし、送信者が日和見主義のデンマーク人(RFC 7672) であり、受信者がTLSA暗号化されていない配信試行を必要としないことを示す記録を持っている場合 (下位互換性の例外として)、この種の攻撃は失敗します。
次の図(CC BY-SA 3.0からAle2006-enよりウィキペディアメッセージ送信エージェント) はさまざまなサーバーの役割を示しており、青い矢印はさまざまな SMTP バリエーションによって実装できます。また、同じサーバーがメッセージの配信において複数の役割を果たすことができることにも注意してください。
テーブルを強化するには:
| # | 送信者 | 受信機 | 使用中のプロトコルとポート |
|---|---|---|---|
| 1 | メイクアップアーティスト | MSA | (✘)暗黙的な TLS を使用した(✔) SMTPS587による送信STARTTLS465 |
| 2 | MSA | インド | 内部配信(2 つの役割を持つ同じサーバー) |
| 3... | インド | MTA(おそらくメキシコ) | (✘✘) 暗号化されていない SMTP 25(✘) SMTP 25とSTARTTLS(✔) SMTP 25、STARTTLSDANE で強制 |
| N-1 | メキシコ | MDA➔MS | 内部配信(複数の役割を持つ同じサーバー) |
| いいえ | MS | メイクアップアーティスト | (✘) IMAP143とSTARTTLS(✔) 993暗黙的な TLS を使用したIMAPS |
最後の2つのステップは、送信者と受信者として正確には見なすことはできません。メッセージ ユーザー エージェントMUAは、メッセージストアMSはメッセージをプッシュするのではなくプルします。最後のMX MTAは、と呼ばれる機能を使用してメールをMSに配信します。メッセージ配信エージェント(MDA)。メッセージ送信エージェント(MSA)はメールの送信のみを指します。これらの定義の詳細については、インターネットメールアーキテクチャ RFC 5598。