La nostra recente scansione PCI non è riuscita perché "l'autenticazione in testo normale è consentita su un canale non crittografato su SMTP". Pertanto, il nostro supporto tecnico ha suggerito di chiudere la porta 587.
Quali sono gli effetti della chiusura della porta 587 e influirà negativamente sull'invio / ricezione di email?
TL; DR : se i tuoi utenti utilizzano 587 per inviare email per relay, devi metterlo in sicurezza (richiedendo STARTTLS prima di AUTH) o disabilitarlo a favore di un'alternativa come 465 (SMTPS ). Se nessuno dei tuoi utenti usa 587, ovviamente, puoi disabilitarlo senza problemi, poiché tutta la posta normale scorre attraverso la porta 25.
Ci sono tre porte comunemente usate per l'email SMTP: 25, 465 e 587.
25 è la porta SMTP standard che viene utilizzata dagli agenti di trasferimento posta ovunque. Se questo va via, smetterai di ricevere email dal resto del mondo.
465 ("SMTPS" o "SSMTP", dove l'extra "S" sta per "Security") e 587 ("submission") sono porte alternative che parlano SMTP, progettato per essere utilizzato da un pool più limitato di utenti fidati. Per citare RFC 4409 :
This separation of function offers a number of benefits, including
the ability to apply specific security or policy requirements.
Quindi, storicamente, queste porte erano usate per cose come permettere agli agenti di posta elettronica di inviare posta per relay, dove la porta SMTP principale non fornisce servizi di inoltro. (In effetti, 465 e 587 sono stati introdotti come un modo per ripristinare la funzionalità una volta che "open relay" è stato chiuso sulla porta 25, che era a sua volta una misura di sicurezza.) Di solito vengono utilizzate altre forme di controllo (ACL di rete o SMTP AUTH) con 465/587 per garantire che vengano accettati solo invii legittimi per il relay.
465 (SMTPS) è, come HTTPS, avvolto in SSL / TLS a livello di rete. 587 non richiede la crittografia per la RFC, ma nella pratica comune, al giorno d'oggi molte configurazioni richiedono STARTTLS (spinning up SSL / TLS durante la transazione SMTP) prima che SMTP AUTH sia anche pubblicizzato. Ciò risolve in modo specifico la preoccupazione che la tua scansione PCI sta aumentando.
Se la tua porta 587 (submission) è così, puoi richiedere un'eccezione alla scansione PCI. Puoi provarlo collegandoti alla porta 587 e inserendo il comando "EHLO hostname". Se la risposta che ricevi, come questa, include STARTTLS ma non AUTH, non sei vulnerabile a ciò che la scansione PCI ha pensato che fossi:
EHLO hostname
250-submission.server Hello hostname [192.168.3.4], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE 16777216
250-DSN
250-STARTTLS
250-DELIVERBY
250 HELP
Se offre AUTH mentre non è crittografato, dovrai richiedere STARTTLS prima di AUTH o disabilitare 587 e utilizzare invece qualcosa come 465 su SSL / TLS.
Se non hai agenti di posta che appartengono al tuo dominio che invia la posta sulla rete per l'inoltro, non hai bisogno di 587 o 465 in ogni caso.
587 è usato per inviare e-mail in modo sicuro (a differenza di 25).
Se chiudi quella porta, c'è un'alta probabilità che nessuno dei tuoi account di posta elettronica sarà in grado di inviare più e-mail.
Se possibile, si dovrebbe chiudere la porta 25 e usare 587 in entrambe le configurazioni server e client.
Leggi altre domande sui tag authentication email smtp ports known-plaintext-attack