RFC-Standards zwingen uns buchstäblich dazu, unverschlüsselte Verbindungen auf Port zu akzeptieren 25. Um zu verstehen, warum, müssen wir verstehen, wie E-Mails funktionieren. Aber E-Mails sind ein ziemlich komplexes Thema und ich habe dieses Beispiel zusammen mit einer Tabelle erstellt, um zu versuchen, alles zu verstehen.
Kann das jemand lesen und mir sagen, ob ich in irgendeinem Teil der Erklärung falsch liege? Ich bin mir nämlich nicht ganz sicher, ob ich das Thema richtig verstanden habe.
BEISPIEL
Wenn der Benutzer (Absender) eine E-Mail sendet über"Mail-Benutzeragent" (MUA), wird diese E-Mail sofort an den"Mail-Übermittlungsagent"(MSA), das sich auf einem separaten Rechner befindet oder nicht. MSA verarbeitet die E-Mail vor und übergibt sie an"Mail-Transfer-Agent"(MTA) auf demselben Computer. Der MTA (Absender) verwendet dann DNS und bestimmt, an welchen MTA (Empfänger) die E-Mail gesendet werden soll. Dieser Teil des Transports erfolgt nur über Port 25. Wenn der MTA (Empfänger) die E-Mail erhält, leitet er sie an den MSA auf demselben Computer weiter und der Benutzer (Empfänger) kann die E-Mail dann mithilfe von MUA lesen.
Die Kommunikation zwischen MUA & MSA und MSA & MTA kann sichere Ports verwenden, die Verbindung zwischen MTA & MTA jedoch nicht. Die folgende Tabelle zeigt, welche Protokolle verwendet werden oder verwendet werden können und welche Ports für jeden Schritt des obigen Beispiels verwendet werden können. Wir verwenden auch ✘ und ✔, wo eine Auswahlmöglichkeit besteht, um anzugeben, was ein modernes Setup verwenden soll.
| # | Absender | Empfänger | Protokolle, die wir verwenden können | Ports der jeweiligen Protokolle |
|---|---|---|---|---|
| 1 | MUA | MSA | (✘) SMTP (✔) SMTPS |
(✘) 25(✔) 587 |
| 2 | MSA | MTA | (✘) SMTP (✔) SMTPS |
(✘) 25(✔) 587 |
| 3 | MTA | MTA | (✔) SMTP | (✔)25 |
| 4 | MTA | MSA | (✔) SMTP | (✔)25 |
| 5 | MSA | MUA | (✘) POP3 (✘) POP3S (✘) IMAP (✔) IMAPS |
(✘) 110(✘) 995(✘) 143(✔) 993 |
Antwort1
Dies beruht auf der falschen Annahme, dass die Ports irgendetwas mit der Verschlüsselung zu tun haben. Ich finde dies jedoch eine gute Frage, da sie die Möglichkeit bietet, dieses Missverständnis zu korrigieren.
Die Ports dienen nicht der Anzeige der Verschlüsselung, sondern werden für unterschiedliche Zwecke verwendet:
- Der Port
25wird für SMTP verwendet (RFC 5321)Nachrichtenrelaiszwischen MTAs. - Port
587wird verwendet fürNachrichtenübermittlung(RFC 6409) von MUA nach MSA. - Beide können mit
STARTTLS( verschlüsselt werden.RFC 3207). - Darüber hinaus gibt es SMTPS, das SMTP (von MUA zu MSA) in TLS auf Port einbindet
465. Dies wurde 1997 registriert, aber 1998 widerrufen, alsSTARTTLSes standardisiert wurde. Dies wurde jedoch 20 Jahre später im Jahr 2018 rückgängig gemacht, daRFC 8314betrachtet Klartext jetzt als veraltet und bringt implizites TLS für die POP-, IMAP- und SMTP-Übermittlung zurück.
Die meisten E-Mails werden heute während der Übertragung (zwischen MTAs) verschlüsselt, sagtGoogle Transparenzbericht.
Die Kommunikation zwischen MTAs sollte aus Gründen der Abwärtskompatibilität weiterhin unverschlüsselte Verbindungen zulassen. Daher ist es für einen Man-in-the-Middle leicht, die Verbindung herabzustufen, indem er die 250-STARTTLSAntwort entfernt, die die Unterstützung für die Erweiterung anzeigt. Wenn der Absender jedochopportunistischer Däne(RFC 7672) und beim Empfänger ein TLSAEintrag vorhanden ist, aus dem hervorgeht, dass er keine unverschlüsselten Zustellversuche benötigt (als Ausnahme der Abwärtskompatibilität), schlagen derartige Angriffe fehl.
Die folgende Abbildung (CC BY-SA 3.0ausAle2006-from-dein WikipediaNachrichtenübermittlungs-Agent) zeigt die verschiedenen Serverrollen und die blauen Pfeile können von verschiedenen SMTP-Varianten implementiert werden. Beachten Sie auch, dass derselbe Server bei der Nachrichtenübermittlung mehrere Rollen haben kann.
So verschönern Sie Ihren Tisch:
| # | Absender | Empfänger | verwendete Protokolle und Ports |
|---|---|---|---|
| 1 | MUA | MSA | (✘) Übermittlung 587mit STARTTLS(✔) SMTPS 465mit implizitem TLS |
| 2 | MSA | MTA | Interne Zustellung (gleicher Server mit zwei Rollen) |
| 3... | MTA | MTA (ggf.MX) | (✘✘) unverschlüsseltes SMTP 25(✘) SMTP 25mit STARTTLS(✔) SMTP 25, STARTTLSerzwungen mit DANE |
| N-1 | MX | MDA➔MS | Interne Bereitstellung (derselbe Server mit mehreren Rollen) |
| N | MS | MUA | (✘) IMAP 143mit STARTTLS(✔) IMAPS 993mit implizitem TLS |
Die letzten beiden Schritte können nicht genau als Sender und Empfänger angesehen werden, da dieNachrichten-BenutzeragentMUA verbindet sich mit demNachrichtenspeicherMS und zieht die Nachricht, anstatt sie zu pushen. Der endgültige MX-MTA liefert die E-Mail an den MS mit einer Funktionalität namensNachrichtenübermittlungs-AgentDieNachrichtenübermittlungs-Agent(MSA) bezieht sich nur auf das Versenden von E-Mails. Nähere Informationen zu diesen Definitionen finden Sie unterInternet-Mail-Architektur RFC 5598.