我想阻止smtp 25,pop 110和imap 143,只使用安全smtps 465,pop3s 995和imaps 993.是否有充分的理由让端口25,110,143打开?
其实你提到的港口,465,995和993已经废弃,不应该再使用。
参见RFC2995第7节
imaps和pop3s端口
单独的“imaps”和“pop3s”端口被注册为使用SSL。 不鼓励使用这些端口来支持STARTTLS或STLS命令。
对于“安全”的协议变体,使用不同的端口观察到了许多问题。 这是试图列举其中的一些问题。
单独的端口导致一个单独的URLscheme,以不恰当的方式侵入用户界面。 例如,许多网页使用的语言如“如果您的浏览器支持SSL请点击此处”。 这是浏览器通常比用户更有能力做出的决定。
单独的端口意味着“安全”或“不安全”的模型。 这可能会以多种方式误导。 首先,“安全”端口可能实际上不可接受地是安全的,因为可能正在使用出口损坏的密码套件。 这会误导用户陷入虚假的安全感。 其次,正常的端口实际上可以通过使用包含安全层的SASL机制来保证。 因此,单独的端口区分使安全策略的复杂话题更加混乱。 这种混乱的一个常见结果是,防火墙pipe理员常常被误认为允许“安全”端口和阻塞标准端口。 考虑到通常使用40位密钥encryption层的SSL,明文密码authentication比强大的SASL机制(如带有Kerberos 5的GSSAPI)的安全性要差一些,这可能是一个糟糕的select。
使用单独的SSL端口已经导致客户端只实施两个安全策略:使用SSL或不使用SSL。 理想的安全策略“在可用时使用TLS”对于单独的端口模型来说很麻烦,但对于STARTTLS来说很简单。
端口号是有限的资源。 虽然尚未供应不足,但开创一个可能使其消费速度加快(或更快)的先例是不明智的。
关于SMTPS的465端口,IANA甚至将其重新分配给不同的用途:
urd 465 tcp URL用于SSM的Rendesvous目录
资料来源: http : //www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?&page=9
特别是对于SMTP,邮件服务器应该(大多数情况下)接受未encryption的通信,因为它可能会收到来自服务器的不会提出TLS的电子邮件。
但也build议使用端口25进行服务器到服务器的邮件传输,并使用端口587从客户端提交邮件。
请参阅RFC2476
提取:
- 信息提交
3.1。 提交标识
端口587保留用于本文档中指定的电子邮件提交。 在这个端口收到的消息被定义为提交。 使用的协议是ESMTP [SMTP-MTA,ESMTP],具有此处指定的其他限制。
虽然大多数电子邮件客户端和服务器可以configuration为使用端口587而不是25,但在某些情况下,这是不可能的或方便的。 站点可以select使用端口25来提交消息,指定一些主机为MSA,其他主机为MTA。
关于端口587上的POP3,IMAP和邮件提交,您可以通过将服务器configuration为拒绝未使用TLSencryption的连接来对标准端口110,143,587进行encryption。 (强烈build议这样做)。
由于STARTTLS可以在普通会话中发出,因此没有理由使用标准25/110/143以外的端口。
如果对方可以使用TLS – 让TLS有。 如果不是,则会发生一个普通的未encryption的会话。
110和143端口:如果我打开110(pop3s)&143 imaps,这意味着用户可以以纯文本格式下载邮件给他们的客户端。
端口25:如果我阻塞端口25,用户将无法以纯文本发送邮件。 但是现在有一些我刚刚testing过的东西。 邮件服务器将无法收到邮件,因为邮件将无法收到。 事实上,邮件服务器通过端口25进行通信。