Mail Ports

Розкажи, які порти використовуються для пошти, які з них не варто використовувати з погляду безпеки?

В поштовій інфраструктурі є кілька стандартних TCP-портів, і вони поділяються за ролями: відправка (SMTP) і отримання (POP3/IMAP). Ось таблиця з поясненнями і рекомендаціями щодо безпеки:

1. Відправка пошти (SMTP)

Порт
Протокол
Призначення
Стан та безпека

25

SMTP

Основний порт для пересилання пошти між серверами (MTA ↔ MTA). Також історично використовувався для відправки з клієнтів.

Не варто приймати листи від користувачів на цьому порту — відкривати його лише для вхідних з інших поштових серверів. Через нього йде більшість спаму, тому треба мати SPF/DKIM/DMARC і anti-spam фільтри.

465

SMTPS

Старий «SMTP over SSL» (deprecated, але підтримується для сумісності). Сьогодні деякі клієнти досі використовують.

Можна тримати відкритим, але краще переходити на 587 з STARTTLS.

587

SMTP (submission)

Сучасний стандартний порт для відправки пошти з клієнтів на сервер з автентифікацією. Використовує STARTTLS для шифрування.

Рекомендований для користувачів.

2. Отримання пошти

Порт
Протокол
Призначення
Стан та безпека

110

POP3

Отримання пошти без шифрування.

Не рекомендується — замінити на 995 (POP3S).

995

POP3S

POP3 поверх SSL/TLS.

Можна використовувати, але IMAPS зручніше.

143

IMAP

Отримання пошти, але без шифрування.

Використовувати лише з STARTTLS.

993

IMAPS

IMAP поверх SSL/TLS.

Рекомендований для безпечного доступу до пошти.

3. Порти, яких краще уникати або обмежити

  • 25 — не дозволяти автентифікованим користувачам надсилати пошту через нього, тільки обмін між серверами.

  • 110, 143 без TLS — передають логін/пароль відкритим текстом, тому небезпечні в інтернеті.

  • 465 — не обов’язковий, але можна тримати для сумісності, якщо клієнти старі.

Якщо коротко: Сучасний безпечний мінімум — відкриті 587 (SMTP submission), 993 (IMAPS), 995 (POP3S), 25 (для міжсерверного обміну). Все інше — або закрити, або примусово переводити на TLS.

Якщо хочеш, я можу скласти для тебе iptables / nftables правила саме під безпечний поштовий сервер з урахуванням IPv4 та IPv6. Тоді одразу буде видно, що залишити, а що закрити.

PreviousUnsubscribe header + html versionNextmain.cf

Last updated