LINUX.ORG.RU

История изменений

Исправление ivanov17, (текущая версия) :

Между серверами даже SMTP over TLS происходит по 25-му порту

Корректнее сказать, что на 25 порту SMTP использует расширение STARTTLS.

между серверами не может быть: Submission (TCP 587)

Потому что submission, т.е. клиентское соединение, к s2s никакого отношения не имеет.

или SMTP over implicit TLS (over dedicated port) (TCP 465)

У 465 порта более сложная история. В двух словах: когда-то предполагалось, что он будет работать в паре с 25 портом как 80 и 443 для HTTP/HTTPS. Потом к SMTP прикрутили STARTTLS и надобность в SMTPS отпала.

Сейчас 465 стандартизирован как submissions, в пару к 587. То есть, это такой же случай как 143 и 993 для imap/imaps.

Поскольку на 587 порту никто в здравом уме не разрешает авторизацию плейнтекстом без шифрования, то получается, что принципиальной разницы между 587 и 465 нет, кроме той, что на 587 у нас STARTTLS, где мы рвём соединения клиентов, которые не хотят в шифрование, а на 465 принудительный TLS, где нешифрованные соединения невозможны.

Предполагается, что нужно держать их оба пока клиенты не научатся автоконнекту на 465 порт, но кажется все уже давно научились.

Исходная версия ivanov17, :

Между серверами даже SMTP over TLS происходит по 25-му порту

Корректнее сказать, что на 25 порту SMTP использует расширение STARTTLS.

между серверами не может быть: Submission (TCP 587)

Потому что submission, т.е. клиентское соединение, к s2s никакого отношения не имеет.

или SMTP over implicit TLS (over dedicated port) (TCP 465)

У 465 порта более сложная история. В двух словах: когда-то предполагалось, что он будет работать в паре с 25 портом как 80 и 443 для HTTP/HTTPS. Потом к SMTP прикрутили STARTTLS и надобность в SMTPS отпала.

Сейчас 465 стандартизирован как submissions, в пару к 587. То есть, это такой же случай как 143 и 993 для imap/imaps.

Поскольку на 587 порту никто в здравом уме не разрешает авторизацию плейнтекстом без шифрования, то получается, что принципиальной разницы между 587 и 465 нет, кроме той, что на 587 у нас STARTTLS, где мы рвём соединения клиентов, которые не хотят в шифрование, а на 465 принудительный TLS, где нешифрованные соединения невозможны.

Предполагается, что нужно держать их оба пока клиенты не научатся автоконнекту на 465 порт, но кажется все уже давно научились.