LINUX.ORG.RU
ФорумAdmin

SMTP s2s

 , , , ,


0

1

Коллеги, есть здесь те, кто настраивал почтовые сервера? Ща настраивал у себя в офисе Dovecot + Postfix. И вот не понял. А что, до сих пор между серверами принято обмениваться почтой по 25-му порту SMTP без всяких SSL? Связь работает и с русскими и с зарубежными серверами. Гугл, Яндекс, Мейл, Китай со мной общаются. Вот пытаюсь понять, это норма - кидаться почтой между серверами без шифрования, или со мной все в fallback режиме общаются? Или, если насильно требовать SSL, можно ли самоподписанными сертами обойтись? Как-то не кошерно в эру тотальной слежки кидаться Plain Text’ами. Но всё пашет.. Причём столько разговоров про обязательные SMTP / Submission over TLS при связи клиент->сервер и никакой инфы про TLS для s2s.


Ответ на: комментарий от Anoxemian

Ну про «строго» ты наврал. Между SMTP серверами opportunistic encryption. То есть ты можешь конечно настроить у себя там всякие DANE с DNSSEC’ами, но проблем с ними огребешь точно больше. Людям нужно, чтобы почта ходила, поэтому этим никто не парится. И да, самоподписанные сертификаты будут работать.

anonymous
()
Ответ на: комментарий от anonymous

Согласен, требование не обязательное, конечно. Но я хз что должно случиться, чтобы отпускать почту без starttls/cert verification required, да и зачем бы О_о Если у кого-то локалхост почта в plain text ну так пусть и сидит один)

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

что должно случиться, чтобы отпускать почту без starttls

Отпустил ты почту со STARTTLS, и пришла она на сервер каких-нибудь рогов и копыт, а с ним наборы шифров не совпали, например. Так что пошла почта со STARTTLS, а пришла туда без всякого шифрования.

А если будешь требовать шифрованное соединение, то не попадёт твоя почта к этим рогам и копытам никогда. И ладно бы это была твоя собственная почта.

ivanov17
()
Ответ на: комментарий от NeWT

Разные Рога и Копыта бывают. Если это ООО Вектор условное, то у них, наверное, один ящик на яндексе для всего. А если это важное производство, типа Верхнезачатьевского комбината резиновых изделий, им положено свой почтовик иметь.

А дальше начинаются интересные истории. Тут регулярно появляются темы, типа, при обновлении сломался Exim на шестой центоси, смотришь – а там релиз десятилетней давности, дырявый насквозь. Очевидно, что они его там один раз настроили и он слал у них почту все эти десять лет. А уж что там у них с шифрованием – бог его знает.

ivanov17
()
Ответ на: комментарий от NeWT

Все ли s2s коннекты происходят по 25-му порту?

Да, иначе это не работает. Ну, то есть, в принципе ты можешь выставить любой понравившийся, но стучаться будут всё равно на 25.

Т. е. и те, что TLS и те, что Plain?

SMTP соединение начинается всегда плейнтекстом. Сервер стучится к другому и спрашивает как у него насчёт шифрования. Если тот говорит, что в порядке, сверяют шифры и продолжают соединение как шифрованное. Если нет, шифрованное соединение просто не устанавливается и они продолжают общаться плейнтекстом.

Можно разорвать соединение, конечно, в этот момент. Но почта не будет доставлена. Поэтому имеет смысл разрешать слабые старые шифры, чтобы иметь какое-то шифрование со старыми серверами. В пределах разумного, само собой.

Если шифрование не запрашивается, то соединение и не шифруется.

Опять же, можно отказаться принимать нешифрованные соединения, но тогда какая-то почта к тебе не придёт, потому что не сможет.

587 и 465 порты это submission/submissions. В принципе, оппортунистическое шифрование для клиентских соединений не имеет смысла, так что клиентам смело можно оставлять только 465 порт с принудительным шифрованием и строгим набором шифров.

ivanov17
()
Последнее исправление: ivanov17 (всего исправлений: 1)
Ответ на: комментарий от ivanov17

Спасибо. Паззл сходится.

Т. е. между серверами не может быть: Submission (TCP 587) или SMTP over implicit TLS (over dedicated port) (TCP 465).

Между серверами даже SMTP over TLS происходит по 25-му порту, начиная с Plain Text соединения (STARTTLS).

Всё верно?

NeWT
() автор топика
Последнее исправление: NeWT (всего исправлений: 1)
Ответ на: комментарий от NeWT

Между серверами даже SMTP over TLS происходит по 25-му порту

Корректнее сказать, что на 25 порту SMTP использует расширение STARTTLS.

между серверами не может быть: Submission (TCP 587)

Потому что submission, т.е. клиентское соединение, к s2s никакого отношения не имеет.

или SMTP over implicit TLS (over dedicated port) (TCP 465)

У 465 порта более сложная история. В двух словах: когда-то предполагалось, что он будет работать в паре с 25 портом как 80 и 443 для HTTP/HTTPS. Потом к SMTP прикрутили STARTTLS и надобность в SMTPS отпала.

Сейчас 465 стандартизирован как submissions, в пару к 587. То есть, это такой же случай как 143 и 993 для imap/imaps.

Поскольку на 587 порту никто в здравом уме не разрешает авторизацию плейнтекстом без шифрования, то получается, что принципиальной разницы между 587 и 465 нет, кроме той, что на 587 у нас STARTTLS, где мы рвём соединения клиентов, которые не хотят в шифрование, а на 465 принудительный TLS, где нешифрованные соединения невозможны.

Предполагается, что нужно держать их оба пока клиенты не научатся автоконнекту на 465 порт, но кажется все уже давно научились.

ivanov17
()
Последнее исправление: ivanov17 (всего исправлений: 1)
Ответ на: комментарий от NeWT

Из этого заметка. Если в s2s коммуникации всегда участвует только 25й порт, и контора бедна и имеет только 1 белый IP на всё, то закрывать ото всех кроме сервера доступ в инет нужно только по dst-port=25.

NeWT
() автор топика
Ответ на: комментарий от NeWT

и контора бедна и имеет только 1 белый IP на всё, то

не стоит даже пытаться поднимать почтарь на этом IP.
Как варианты:
1. пользак ловит какой-то вирь который свиснув из почтового акка пользака данные начинает от него рассылать.
2. пользак ловит какой-то вирь который просто начинает рассылать от левого акка.
3. пользак ловит какой-то вирь который начинает долбить все что можно и нельзя.
4. ... надеюсь вы поняли.

ЗЫ Ну и что бы два раза не вставать, юрикам не редко, но не всегда, доп. IP/подсети выделяют нахаляву. Но даже если за денежку, то на фоне абонентки для юрика это чаще копейки. Вот хуже другая ситуация «А мы не можем!» тут бодаться приходится долго и говорят (вроде здесь недавно пролетала тема), что не всегда успешно. Но даже если сходу скажут «А мы не можем!» надо начинать с долгой и аргументированной промывки мозгов прову, а то возможно вы попадаете на девочку из первой линии которая вам «отвечает как автоответчик» и вы сходу сложите крылья.

anc ★★★★★
()
Ответ на: комментарий от anc
  1. Это моя проблема. На серваке надо ограничения ввести. И это не зависит от того, отдельный ли IP или нет.
  2. Не сможет. Доступ в инет закрыт по 25-му порту.
  3. =2.
  4. =2.

Провы у нас адекватные, тут вопросов нет.

NeWT
() автор топика
Последнее исправление: NeWT (всего исправлений: 2)
Ответ на: комментарий от NeWT

Это моя проблема. На серваке надо ограничения ввести.

«Надо» или они есть?

Не сможет. Доступ в инет закрыт по 25у порту.

Только по 25-му ? Если да, то у меня для вас плохие новости…

anc ★★★★★
()
Ответ на: комментарий от NeWT

Целевой порт, конечно, 25. А вот отправка происходит со свободных портов диапазона, если ты ничего не ограничивал. Посмотри логи (и документацию). Не думаю, что Postfix здесь чем-то отличается от Exim.

Вообще как бы хорошая идея иметь для почты отдельный айпишник.

Ещё такой момент. Гугл пару лет назад рапортовал о том, что порядка 85% почты передаётся им через шифрованные соединения. Если ты наблюдаешь обратную картину, имеет смысл напрячься насчёт того как у тебя настроено шифрование.

Я вот про это:

Вот пытаюсь понять, это норма - кидаться почтой между серверами без шифрования, или со мной все в fallback режиме общаются?

С виду всё может быть нормально, почта вроде ходит, а внезапно оказывается, что у тебя где-нибудь опечатка в пути к сертификату, банально. Сертификат не находится, шифрованное соединение не устанавливается, почта идёт плейнтекстом.

ivanov17
()
Последнее исправление: ivanov17 (всего исправлений: 1)
Ответ на: комментарий от NeWT

Ещё нет.

Ещё нет, но почтарь мы уже подняли. Голосом вороны из мульта «Прелестно».

Только что же обсудили, что s2s только 25й порт?

Причем тут это? Напоминаю что было в цепочке:

2. пользак ловит какой-то вирь который просто начинает рассылать от левого акка.

Не сможет. Доступ в инет закрыт по 25у порту.

Только по 25-му ? Если да, то у меня для вас плохие новости…

anc ★★★★★
()
Ответ на: комментарий от ivanov17

Целевой порт, конечно, 25. А вот отправка происходит со свободных портов диапазона, если ты ничего не ограничивал.

Так на фаерволе организации проверка по dst-port, а не по src-port. Понятно, что порт отправителя всегда разный, но его в сетях вообще редко проверяют в правилах фаерволла.

Я просто сначала в логах видел в s2s коннектах только 25й порт. Но после того, как Вы мне разжевали про STARTTLS в s2s SMTP, я понял, что надо тут получше проверить. Ещё не проверил. Времени не было.

NeWT
() автор топика
Ответ на: комментарий от anc

пользак ловит какой-то вирь который просто начинает рассылать от левого акка.

Вирь притворяется почтовым сервером, коннектится как сервер к какому-нить yandex.ru, при этом yandex видит, что коннект валидный - от «хорошего IP» (есть RDNS и spf в dns как минимум) и принимает почту.

  • Этого не произойдёт, т. к. на моём фаере закрыт dst-port=25 для всех кроме сервера.

Вирь притворяется моим клиентом и либо он своровал логин-пасс - тогда с меня антиспам настройка на моём серваке, либо он знает только IP моего мейл-сервера - тогда он не знает логин-пасс, почту не пошлёт.

Не понимаю, где я не прав. Распишите случай.

NeWT
() автор топика
Ответ на: комментарий от NeWT

Вирь притворяется почтовым сервером

Та никем не надо притворятся, просто достаточно начать рассылать всякую чухню направо и налево.

Этого не произойдёт, т. к. на моём фаере закрыт dst-port=25

Я вам уже выше намекнул...

anc ★★★★★
()