Port 465

basstscho

Registered User
Hallo zusammen,

ist es sinnvoll den Port 465 für den Mailtransport freizugeben?
Grundsätzlich erfolgt bei mir das Versenden der Mails über den Port 587 (also von den Clients zum Server).

Daher meine Frage: Erfolgt das Versenden von Mails zwischen Mailservern eventuell auch über den Port 465 (also über SSL) erfolgt, oder immer über den Standart-Port 25?

Falls nein, müsste ich den 465er ja nicht unnötig offen haben...

Danke,
Grüße Johannes
 
Zunächst muss der Unterschied zwischen SSL (Secure Socket Layer) und TLS (Transport Layer Security) geklärt werden: Bei SSL ist die gesamte Sitzung verschlüsselt, bei TLS wird zunächst die Verbindung unverschlüsselt begonnen und dann zur verschlüsselten Verbindung nach Anforderungskommando gewechselt.

Port 465 ist für SSL gedacht, also immer verschlüsselt.

Die meisten gängigen E-Mailserverprogramme unterstützen auf Port 25 mittlerweile TLS und viele können sogar auch gleich SSL erkennen.

Das ganze hängt jetzt sehr vom jeweiligen E-Mailclientprogramm ab.

Den Dienst auf Port 465 anzubieten ist eigentlich nicht so risikoreich, denn hier müsste eine Bruteforce Attacke ja SSL machen, und das habe ich jetzt noch nicht erlebt. :-) Also wer Port 25 offen hat, der kann auch Port 465 aufmachen.

Grundsätzlich sollten sich Clients für SMTP immer anmelden müssen. Die impliziete Anmeldung über POP3 bzw. IMAP wird immer mehr, auch von den großen E-Mailportalen, abgeschafft. Port 587 war ursprünglich dafür gedacht. Die gängigen E-Mailserverprogramme können das aber auch auf Port 25 bzw. 465.

Ich hoffe ich habe es jetzt erklärt und nicht verwirrt....

Grüße,
Ulrich
 
Zunächst muss der Unterschied zwischen SSL (Secure Socket Layer) und TLS (Transport Layer Security) geklärt werden
TLS ist der Nachfolger von SSL. Das ist u. a. daran zu sehen, dass sich Anwendungen, die TLS 1.0 unterstützen dieses als SSL 3.1 identifizieren. Letztlich heißt Raider jetzt Twix und SSL jetzt TLS.

Nach deiner Argumentation wäre z. B. folgende Ausgabe von OpenSSL (bzw. dem TLS/SSL-Client von OpenSSL) völlig falsch:
Code:
$ openssl s_client -host rootforum.de -port 443
CONNECTED(00000003)
[...]
---
SSL handshake has read 915 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
[...]
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    [...]
---
^C
Details z. B. unter Transport Layer Security ? Wikipedia
 
Stimmt, TLS ist die Weiterentwicklung von SSL.

Ich will die Entwicklung darstellen, damit klar ist, warum jetzt der Port 465 nicht mehr so wirklich in gebrauch ist, denn die Frage war ja, ob man den Port 465 zur Nutzung öffnen solle.

Früher gab es kein TLS, und auch keine Verschlüsselung auf Port 25.

Zur Verdeutlichung bitte folgendes testen:

> telnet srv0.msp-it.com 25
auf Meldung 220 vom Server warten (ca. 5 Sek.)
> ehlo

Hier wird gezeigt, dass der Server das Kommando STARTTLS unterstützt. Erst dann wird verschlüsselt. (Mit QUIT kann man die Verbindung beenden.)

Bei
> telnet srv0.msp-it.com 465

sieht man nichts und die Verbindung wird nach ein paar Returns mit einem Fehler beendet, weil SSL nicht funktioniert hat.

Grüße,
Ulrich
 
Ich will die Entwicklung darstellen, damit klar ist, warum jetzt der Port 465 nicht mehr so wirklich in gebrauch ist, denn die Frage war ja, ob man den Port 465 zur Nutzung öffnen solle.
Port 465 wurde AFAIK irgendwann einmal von Microsoft für Outlook/Outlook Express eingeführt. Es gibt keinen RFC, der SMTP over SSL (also SSL-gesichertes SMTP über Port 465/tcp) behandelt. Daher, um zurück auf die Frage des OP zu kommen, läuft die Inter-MTA-Kommunikation immer über Port 25 ab und "neuerdings" wird ggf. ein Connection-Upgrade für die Verbindungssicherung mit TLS durchgeführt, wenn beide MTAs das unterstützen.

Bei
> telnet srv0.msp-it.com 465

sieht man nichts und die Verbindung wird nach ein paar Returns mit einem Fehler beendet, weil SSL nicht funktioniert hat.
Die Begründung ist so dermaßen daneben. Man sollte seine Werkzeuge schon kennen...
Code:
$ openssl s_client -host srv0.msp-it.com -port 465                                                                                                         
CONNECTED(00000003)                                                                                                                                                  
depth=0 /C=DE/ST=Baden-Wuerttemberg/L=Freiburg/O=Oezguel Koc/OU=Administration/CN=*.msp-it.com                                                                       
verify error:num=20:unable to get local issuer certificate                                                                                                           
verify return:1                                                                                                                                                      
depth=0 /C=DE/ST=Baden-Wuerttemberg/L=Freiburg/O=Oezguel Koc/OU=Administration/CN=*.msp-it.com                                                                       
verify error:num=27:certificate not trusted                                                                                                                          
verify return:1                                                                                                                                                      
depth=0 /C=DE/ST=Baden-Wuerttemberg/L=Freiburg/O=Oezguel Koc/OU=Administration/CN=*.msp-it.com
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=DE/ST=Baden-Wuerttemberg/L=Freiburg/O=Oezguel Koc/OU=Administration/CN=*.msp-it.com
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=DE/ST=Baden-Wuerttemberg/L=Freiburg/O=Oezguel Koc/OU=Administration/CN=*.msp-it.com
issuer=/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/[email protected]
---
No client certificate CA names sent
---
SSL handshake has read 1463 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 0CC11A10364F69194683CE498BE25E064E8AD21D546FA436CC5D42DD0E0A80AD
    Session-ID-ctx:
    Master-Key: EBC37A40E63CA58C24C8D064C06D3FBA9CF9FCC11AC2288CF149A63D8E730C5408A350B6C0FCFEA143FCF2069CDE6536
    Key-Arg   : None
    Start Time: 1247600320
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
220 srv0.msp-it.com ESMTP
ehlo there
250-srv0.msp-it.com
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-PIPELINING
250 8BITMIME
mail from:<>
250 ok
rcpt to:root
250 ok
quit
221 srv0.msp-it.com
closed
 
Back
Top