Что лучше 993 SSL/TLS или 143 STARTTLS? В чём разница приниципиальная? Также что лучше 587 STARTTLS или 465 SSL/TLS?

Question

[bassoon48]

Ставил пользакам 143 STARTTLS.

Но щас запарился, может надо было 993 делать SSL/TLS?

Также использую EWS на 443 порту с строгим шифрованием.

П. С. 465 я так понимаю Exchange в принципе не поддерживает. нужно отдельно поднимать SMTP сервер новый. Так что 587 маст хэв?

Answer 1

[Павел Межуев]

В настоящее время, согласно RFC 8314, следует использовать неявное шифрование, то есть порты 465/TCP (Submissions), 993/TCP (IMAPS) и 995/TCP (POP3S). В частности в разделе 3 сказано:

Previous standards for the use of email protocols with TLS used the STARTTLS mechanism: [RFC2595], [RFC3207], and [RFC3501]. With STARTTLS, the client establishes a cleartext application session and determines whether to issue a STARTTLS command based on server capabilities and client configuration. If the client issues a STARTTLS command, a TLS handshake follows that can upgrade the connection. Although this mechanism has been deployed, an alternate mechanism where TLS is negotiated immediately at connection start on a separate port (referred to in this document as "Implicit TLS") has been deployed more successfully. To encourage more widespread use of TLS and to also encourage greater consistency regarding how TLS is used, this specification now recommends the use of Implicit TLS for POP, IMAP, SMTP Submission, and all other protocols used between an MUA and an MSP.

Однако следует отметить, что на протяжении примерно 20 лет с конца 90-х использование 465/TCP (aka SMTPS) наоборот считалось устаревшим в пользу 587/TCP (Submission). Но сложившаяся практика и всеобщий тренд на TLS изменили положение вещей.

Comments

[bassoon48]

а про 143 STARTTLS что сказано?

[Павел Межуев]

Явно ничего не сказано, но общая рекомендация (выделено жирным в цитате) отказаться от STARTTLS в пользу реализаций с Implicit TLS касается и IMAP на 143/TCP. В разделе 3.3 указанного RFC есть дополнительные пояснения для SMTP Submission о необходимости поддержки обоих реализаций в переходный период:

As a result, clients and servers SHOULD implement both STARTTLS on port 587 and Implicit TLS on port 465 for this transition period. Note that there is no significant difference between the security properties of STARTTLS on port 587 and Implicit TLS on port 465 if the implementations are correct and if both the client and the server are configured to require successful negotiation of TLS prior to Message Submission.

Если есть необходимость, то разумно распространить этот подход на IMAP с POP3, но только при возможности соблюдении данного условия: «both the client and the server are configured to require successful negotiation of TLS». В противном случае есть риск компрометации данных (например, отправка клиентом учётных данных до выполнения STARTTLS) и тогда лучше как можно быстрее отказаться от их использования.

[bassoon48]

Павел Межуев, интересно. Но тот же MAIL использует и 143 и 993....

По идее если TLS строгое то всё гуд должно быть.

А остальные случаи это тупо баги и дыры в софте

[bassoon48]

Павел Межуев, энивей, спасибо за инфу!

Пока оставлю торчать 143 STRATTLS и 993 SSL/TLS
ну и 587 STARTTLS

[Павел Межуев]

Но тот же MAIL использует и 143 и 993

Mail.ru работает 25 лет и имеет десятки миллионов пользователей, жить им с этим ещё долго. К тому же, если не ошибаюсь, они полностью перешли на OAuth и отдельные пароли для приложений, что снижает возможный ущерб.

Answer 2

[Роман Безруков]

Для чего это все? Задача какая?

Ставил пользакам 143 STARTTLS.

какой почтовый клиент?

993 SSL/TLS или 143 STARTTLS

это IMAP4, на Exchange он по умолчанию отключен, и без особой необходимости включать его не надо (так же, как и POP3)

465 я так понимаю Exchange в принципе не поддерживает

этот порт используется внутренними сервисами Exchange (Client Proxy Receive Connector)

На тему портов есть официальный документ - Network ports for clients and mail flow in Exchange

Comments

[bassoon48]

Задача - для всего и сразу

[bassoon48]

это IMAP4, на Exchange он по умолчанию отключен, и без особой необходимости включать его не надо (так же, как и POP3)

Ну дак а почему не надо?

Если включаешь TLS и SSL и оставляешь 143 порт то никаких проблем нет. Ты не подключишься без шифрования.

У тебя будет выбор либо 143 STARTTLS или 993 SSL/TLS вот я и спрашиваю что лучше для всего и сразу? У меня щас 2 порта торчит 143 и 993

Для клиентов торчит 587 STARTLS так как 465 старое ненужное говно которого по умолчания в EXCHANGE 2010 нет.

Ну и 25 порт само собой, без клиентского доступа

Answer 3

[CityCat4]

Но щас запарился, может надо было 993 делать SSL/TLS?

Зачем? Это порт с предварительно установленным TLS соединением (то есть оно кем-то до этого установлено и проверено). Обычно используется 143 STARTTLS
Насчет 587 не скажу - у нас эксч наружу не торчит

Comments

[bassoon48]

Но вроде жы IMAP4 (143) или IMAP4S (993) - больше букаф, значат круче)))

То есть это НЕ обсёр делать IMAP4 (143 STARTTLS) вместо IMAP4S (993 SSL/TLS)?

И то и другое супер круто и защищено? Или?

[bassoon48]

Насчет 587 не скажу - у нас эксч наружу не торчит

А как доступ клиентам предоставляете? У меня и 443 наружу торчит с сертификатом LETS Encryptc.

OWA торчит, EWS торчит всё под сертификатами SSL. Единственно у меня ECP забанен для внешнего мира и всё.

А для доступа через другие клиенты 143 STARTLS, 993 SSL или 587 STARTTLS. Вчём я не прав? нужно убирать? а на кой х тогда почта нужна? Если у вас не гос секретка

[bassoon48]

Я ещё хочу заморочиться поставить перед Чангой Proxmox GAteway спаморезку. Чтоб ваще атас. ещё и DKIM прикручу и буду фапать на 10/10 баллов SMTP проверка

[CityCat4]

bassoon48, Наружу? OWA торчит с платным сертификатом, весьма недешевым. Но ей пользуются только с телефонов, а все остальные - VPN и подключением к эксчу "изнутри".
У нас почта нетривиальна - есть "внутренняя" (эксч, переписка только внутри конторы) и есть "внешняя" (dovecot, переписка только вне конторы). Dovecot наружу через 143 STARTTLS, sendmail (для приема почты) наружу 587 STARTTLS
OWA достаточна для работы с внешним миром по-моему.

[bassoon48]

CityCat4, да наружу. Думаешь платный нужен? Есть Let's Encrypt, вроде всё тоже самое, только каждые 3 месяца надо через Scheduler обновлять и всё.

Главное ECP забанить снаружи!! Вот это 100%.

ну и наружу торчат 993, 143, 587. естетсвенно все STARTTLS или SSL/TLS. На 25 порту только почта гуляет, никаких пользаков

[bassoon48]

CityCat4, ну через VPN это не удобно, попробуй объясни пользаку - нажми туда сюда...Ему надо как с яндексом и гуглом. Открыл и всё.

Поэтому и надо перед экчем ставить спаморезку релей.

[bassoon48]

CityCat4, то есть у вас и линух чисто dovecot для приёма и отдельно чанга . Интерено.

А в чём преимущетво такого метода? Если IMAP умеет и чанга? или у вас разные почтовые ящики? У вас пользаки не путаются?

[CityCat4]

bassoon48, У нас VPN по сертификату, настроенный подключается в три тычка. А спаморезка у меня на внешку стоит - milter-greylist + черные списки

А в чём преимущетво такого метода?

Да ни в чем, и я все хочу его убить нахрен и оставить эксч для внутреннего хранения и dovecot для торчания вовне. Так решил прежний директор, а после того как он погиб в ДТП никто не стал переделывать.

или у вас разные почтовые ящики? У вас пользаки не путаются?

оутлук для "внутренней" и TB для "внешней". Ящики разные - потому как разные сервера хранения. А IMAP у эксча тупой и тоооооооооормоз, причем я думаю его специально таким сделали.

[bassoon48]

CityCat4, есть такое. Да. Туповат IMAP

Поэтому либо OWA, либо EWS для Android клиентов. Рекомендую Aqua Mail пиратскую с сайта 4pda.

ну а iPhone только кушать кактус)) Либо OWA либо IMAP и любуй клиент

[CityCat4]

bassoon48, aquamail отличная вещь, но у нее нет поддержки S/MIME. И вообще я за программу для андроида для чтения почты с поддержкой S/MIME "калым отдам, душу Кибербону продам" - ну нет ее. Вроде как Fair Email умеет, но все руки не доходят проверить.

[Александр Фалалеев]

CityCat4, NINE проддерживает s/mime, как родной работает с Exchange, разумеется и по IMAP с dovecot без проблем. Минусы - платный.