Welche ports sollte ich offen halten?!

[Andy Server]

Guten Tag,

ich habe einen amazon linux 2 server, und darauf ein kleines Projekt eingerichtet.

Ich bin kompletter Neuling wenn es um ports geht, habe es aber geschafft ein "new register > mail confirmation" setup einzurichten.
(smtp; über port 465...)

ansonsten, habe ich nicht viel angeklickt was ports angeht.

(Ich glaube, ich habe port 80 selber freigeschaltet).


Was ich brauche, ist lediglich normaler Internet-Verkehr zu meiner Webseite, mit der Möglichkeit dass sich neue Nutzer registrieren können.

In Zukunft werde ich versuchen von 465 zu 587 zu wechseln.


Denkt ihr, dass dieses setup so klar geht?!

Ich kenne mich mit diesen 0 / 0.0.0.0 Rechten nicht aus;
nehme an 0 steht für unbegrenzten Zugriff (jedermann).


Gibt es einen Port, bei dem ich diese Rechte ändern / beschränken sollte?!


Danke für jeden Tipp (oder Resource)!!

 

[greystone]

Bzgl. der ausgehenden Ports:

Port 465 ist veraltet. Empfohlen für Server-zu-Server Kommunikation ist bei SMTP der Port 25 mit STARTTLS.

Port 587 ist für authentifizierte Verbindungen zu Mailservern. Den kannst Du abschalten und nur für den Fall einschalten, falls Du den wirklich brauchen solltest.

 

[Andy Server]

Bzgl. der ausgehenden Ports:

Port 465 ist veraltet. Empfohlen für Server-zu-Server Kommunikation ist bei SMTP der Port 25 mit STARTTLS.

Port 587 ist für authentifizierte Verbindungen zu Mailservern. Den kannst Du abschalten und nur für den Fall einschalten, falls Du den wirklich brauchen solltest.

Hey,
danke für die Antwort!

Habe von port 25 bzgl. smtp noch nicht viel gelesen, muss ich ehrlich zugeben...

Vielmehr, die standard anleitung, dass 587 scheinbar der sicherste ist, wenn es um encry. mails geht...


https://kinsta.com/blog/smtp-port/#what-is-port-25-used-for

"However, if you’re setting up your WordPress site or email client with SMTP, you usually do not want to use port 25 because most residential ISPs and cloud hosting providers block port 25.

Why? Because port 25 is commonly abused to send spam from compromised computers.

Remember: there’s a difference between SMTP submission and relay. So while SMTP port 25 is great for SMTP relay, it is not a good option for SMTP submission."


https://www.cloudflare.com/learning/email-security/smtp-port-25-587/

 

[greystone]

Von der Verschlüsselung her ist das alles gleich sicher, solange sie denn verwendet wird.

Wenn Du ein Wordpress betreiben willst, dann kannst Du Mails über Port 587 authentifiziert bei Deinem Mailprovider einliefern. Da ich jetzt weiss, dass Du keinen Mailserver betreiben möchtest, sondern nur Mails aus Deinem Wordpress schickst: Ja. Das ist eine gute Möglichkeit und soweit sehr zu empfehlen, das so zu tun.

 

[danton]

Port 465 ist veraltet.

Das ist nicht mehr korrekt. Mit der RFC 8314 von 2018 ist 465 gegenüber 587 mit STARTTLS zu bevorzugen - als für die Client-Server Kommunikation. STARTTLS ist anfällig gegen Downgrade-Angriffe, da die initiale Kommunikation unverschlüsselt erfolgt.
Wenn es wie hier nur darum geht, dass nur Mails über einen Mail-Provider rausgeschickt werden, wäre also Port 465 (impliziertes TLS) gegenüber Port 587 (explizites TLS per STARTTLS) zu bevorzugen, sofern der Provider beides unterstüzt.

 

[greystone]

Danke. Da war ich wohl nicht auf dem aktuellen Stand.

 

[Andy Server]

Das ist nicht mehr korrekt. Mit der RFC 8314 von 2018 ist 465 gegenüber 587 mit STARTTLS zu bevorzugen - als für die Client-Server Kommunikation. STARTTLS ist anfällig gegen Downgrade-Angriffe, da die initiale Kommunikation unverschlüsselt erfolgt.
Wenn es wie hier nur darum geht, dass nur Mails über einen Mail-Provider rausgeschickt werden, wäre also Port 465 (impliziertes TLS) gegenüber Port 587 (explizites TLS per STARTTLS) zu bevorzugen, sofern der Provider beides unterstüzt.

Danke für diese Info.

Also scheinbar unterstützt aws StartTLS: https://docs.aws.amazon.com/de_de/ses/latest/dg/smtp-connect.html

aber definitiv nicht über port 465.

Sondern nur 587, 2587, 25.

Also nehme ich an, ist es für mich dann im endeffekt doch besser einfach von 465 zu 587 zu wechseln, oder?

Danke.

 

[greystone]

Port 465 ist immer verschlüsselt. Deswegen kann es da kein STARTTLS geben.

 

[Andy Server]

Port 465 ist immer verschlüsselt. Deswegen kann es da kein STARTTLS geben.

Also ist das jetzt echt so, dass port 465 sicherer ist als 587 (??)


Das würde ungefähr 99,9% der Literatur widersprechen, die es im Internet hierzu zu lesen gibt...

 

[Joe User]

Das würde ungefähr 99,9% der Literatur widersprechen, die es im Internet hierzu zu lesen gibt...

Was daran liegt, dass diese 99,9% aus der Zeit vor RFC 8314 stammen, wo es aus Kompatibiilitätsgründen noch andersrum war. Diese Zeiten sind vorbei und deshalb ist Port 465 mit explizitem SSL zu bevorzugen.
587 ist legacy, aus Kompatibilitätsgründen...

 

[Andy Server]

Was daran liegt, dass diese 99,9% aus der Zeit vor RFC 8314 stammen, wo es aus Kompatibiilitätsgründen noch andersrum war. Diese Zeiten sind vorbei und deshalb ist Port 465 mit explizitem SSL zu bevorzugen.
587 ist legacy, aus Kompatibilitätsgründen...

Vielen Dank.

Also werde ich an meinem Port für SMTP gar nichts ändern müssen : )

Du sagst mit explizitem SSL?

muss ich für diesen Port noch ein eigenes SSL Zertifkiat installieren (?)

(ich habe nur eines für https / 443)

 

[Joe User]

muss ich für diesen Port noch ein eigenes SSL Zertifkiat installieren (?)

Ja.

 

[Andy Server]

Ja.

Ok, danke.

Nur eine Frage:
Geht das auch mit kostenlosen Zertifikaten wie letsencrypt?!


Danke

 

[GwenDragon]

Ja, das Zertifikat sollte auf den FQDN ausgestellt sein, der auch im DNS deines Servers unter MX drin steht.