portok helyes kiosztása SMTP szerverhez

 ( transitive | 2019. augusztus 23., péntek - 12:52 )

A domainemen OpenSMTPd viszi a levelezést. Úgy van bekonfigurálva, hogy csak a 25-ös SMTP port van nyitva, de azon kötelező a STARTTLS. Self-signed certificate-et használok (ne kezdjünk most bele, hogy miért nem letsencrypt-et). Szóval plain text levélátvitel nincs. Relay-hez pedig még authentikálnia is kell magát a külső félnek. Ezzel a konfiggal a gmail szépen tud küldeni a domainemre leveleket. A céges mail szerver is megoldja (asszem O365 alapú). Viszont a freemail elbukik. Látszik a logokból, hogy STARTTLS nélkül akar küldeni, amit nyilván megtagad a mail szerver.

Kérdéseim:
- elvi hibás-e az a megközelítés, hogy a 25-ös port TLS titkosított? Eredetileg az SMTP titkosítatlan volt...;
- a freemail miért nem használ STARTTLS-t a 25-ös porton, amikor más szolgáltatók meg tudják ezt tenni?
- lehet, hogy a 25-ös portot meg kéne hagynom unencrypted SMTP-nek és a TLS + auth SMTP-t áttenni 587-re?

Az nagyon nem zavar, ha a freemail nem ér el, viszont máshonnan jöhetnek fontos levelek, amikről így lemaradhatok (ha ők sem hajlandók STARTTLS-re a 25-ös porton)...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

- Igen, sokan küldenek még levelet STARTTLS nélkül, tehát, ma még ne tedd kötelezővé a STARTTLS-t a 25-ös porton, ha tényleg meg akarsz kapni minden beérkező levelet.

- A Freemail olyan, amilyen.

- Az auth. SMTP-t már csak azért tedd külön az 587-es portra, mert a submission (kliens általi levélküldés) funkciót sok egyéb okból is praktikus élesen elkülöníteni a levélfogadástól. (Eltérő milterek, stb.)

subs.

> sokan küldenek még levelet STARTTLS nélkül
Azert ott a kerdes, hogy ilyen kuldotol akarok-e kapni barmit is :)
____________________
echo crash > /dev/kmem

Ezerszer lerágott csont, hogy normális környezetben teljesen abnormális kliensek is léteznek. (Vagy ahogy Rejtő írta a 14 karátos autóban: "Mikor jön rá végre, hogy épelméjű üdülővendégekre nem lehet világfürdőhelyeket bazírozni!")

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Na ja, ezert kerdes, es nem kijelentes :)
____________________
echo crash > /dev/kmem

Azert ott a kerdes, hogy ilyen kuldotol akarok-e kapni barmit is :)

Ez jutott nekem is eszembe. Mondjuk szerintem nem sok ember használ már freemail-szerű félrekonfigurált szolgáltatásokat, de aki mégis, annak a leveleit is szeretném megkapni, mivel attól még, hogy nem tökéletes szolgáltatást használ, a mondandója fontos lehet számomra, nagyon is...

Kösz a választ. Javítottam a konfiguráción. A 25-ös porton opcionális a titkosítás és az auth (ha authentikál, akkor megengedett a mail relay), az 587-esen viszont kötelező a TLS (ha authentikál is, akkor megengedett a mail relay). Így nem open mail relay a szerverem, viszont tud bárhogyan fogadni domainre érkező leveleket.

ne is legyen auth a 25-on, arra van az 587...

Azt már sokan elhitték, hogy nem open relay a szerverük, aztán kiderült, hogy mégis...

Ahogy ezt manapság illik:

25: Nincs relay, akkor sem, ha AUTH-ol. (Ergo fölösleges az AUTH-ot is megengedni.)
25/TLS: A szervered ajánlja fel a TLS-t, és ha a küldő ettől elhasal, akkor engedje a plaintex-t, de előtte mindenképp kérdezzen rá. (hogy "esetleg TLS?")

587/TLS: kizárólag TLS, és AUTH után mehet a relay is.

+1: Azt pedig ne várd, hogy a világon bármely küldő szerver, a te 587-esedre akarjon (TLS vagy anélkül) levelet átadni.

+1: Azt pedig ne várd, hogy a világon bármely küldő szerver, a te 587-esedre akarjon (TLS vagy anélkül) levelet átadni.

Nem várom. Épp ezért küldheti a 25-ösre is, akár titkosítatlanul is. Ahogy teszi pl. a freemail is.