SMTP Port 465 und/oder 587

nexus

nexus

Well-Known Member
Hallo in die Runde,

ich hatte gestern eine interessante Diskussion mit einem befreundeten Admin zu dem Thema, welche SMTP-Ports man sinnvollerweise in einem Mailserver-Setup konfigurieren sollte. Mein derzeitiger Kenntnisstand dazu:

Port 465:
- ursprünglich für SMTPS eingeführt
- nicht mehr RFC-konform
- aus Kompatibilitätsgründen für ältere Mailclienten weiterhin aktiv genutzt
- bietet allerdings höhere Sicherheit, da zuerst eine verschlüsselte Verbindung aufgebaut wird, bevor die eigentliche Kommunikation startet

Port 587:
- RFC-konform
- schwächere Sicherheit, da zuerst die Kommunikation beginnt und im Laufe dessen dann eine verschlüsselte Verbindung etabliert wird. Bis zur verschlüsselten Verbindung werden Daten im Klartext übertragen und könnten theoretisch mitgelesen werden (MitM)

Ich persönlich bin bisher immer pragmatisch vorgegangen und habe beide Ports konfiguriert.

Ist mein Kenntnisstand aktuell?
Wie geht ihr dieses Thema an und wie konfiguriert ihr eure Mailserver...Auch im Hinblick auf Konformität und Sicherheitsgewinn?
 
Mit Port 465 bist du nicht mehr ganz aktuell. Der war ursprünglich mal als verschlüsselte Variante von Port 25 angedacht, hat sich da aber nie durchgesetzt und wurde zu Gunsten von STARTTLS aufgegeben. Zwischenzeitlich war der Port tatsächlich für einen anderen Zweck vorgesehen, ist nun für SMTP submission mit implizierter Verschlüsselung spezifiziert - und damit deine Verwendung wieder RFC-konform (RFC8314).
Ich habe beide Ports in Postfix eingerichtet (analog auch für IMAP und POP3 in Dovecot) und lehne auf Port 587 Zugriffe ab, die kein STARTTLS machen (analog auch bei IMAP und POP3).
Aus Security-Sicht sollten wenn möglich implizite Verschlüsselung der explizierten durch STARTTLS vorgezogen werden und in meinem Autoconfig-Dienst für Thunderbird und Outlook wird auch Port 465 an den Mailclient bei der Einrichtung zurück gemeldet.
 
Last edited:
danton said:
Mit Port 465 bist du nicht mehr ganz aktuell. Der war ursprünglich mal als verschlüsselte Variante von Port 25 angedacht, hat sich da aber nie durchgesetzt und wurde zu Gunsten von STARTTLS aufgegeben. Zwischenzeitlich war der Port tatsächlich für einen anderen Zweck vorgesehen, ist nun für SMTP submission mit implizierter Verschlüsselung spezifiziert - und damit deine Verwendung wieder RFC-konform (RFC8314).
Click to expand...
Danke für das Update.:cool:

danton said:
Ich habe beide Ports in Postfix eingerichtet (analog auch für IMAP und POP3 in Dovecot) und lehne auf Port 587 Zugriffe ab, die kein STARTTLS machen (analog auch bei IMAP und POP3).
Aus Security-Sicht sollten wenn möglich implizite Verschlüsselung der explizierten durch STARTTLS vorgezogen werden und in meinem Autoconfig-Dienst für Thunderbird und Outlook wird auch Port 465 an den Mailclient bei der Einrichtung zurück gemeldet.
Click to expand...
Okay, dann paßt meine Konfiguration ja doch.
 
You must log in or register to reply here.
Back
Top