Quais portas são aconselhadas a usar para correio seguro?

As portas padrão para comunicações normais (claras) e seguras/criptografadas, por protocolo:

IMAP: normal 143, secure 993
POP:  normal 110, secure 995
SMTP: normal 25,  secure 465/587

Confusamente, o SMTP tem duas portas seguras. Você deve usar 465 para SSL/TLS e 587 STARTTLS ( consulte a última seção desta página ), embora não seja obrigatório.

Respondendo à sua segunda pergunta: esses são os números das portas do servidor, não da sua máquina; portanto, se um deles não estiver acessível, você não poderá usá-lo. Além disso, essas portas são usadas para proteger as comunicações entre você e o servidor de e-mail para o qual você envia suas mensagens. Não está relacionado a como uma retransmissão de correio entrega correio ao servidor no destino final.

Você deseja proteger a comunicação, não alternar para outras portas.

TLS é um protocolo para criptografar a comunicação. No entanto, para poder usar o TLS, ambos os lados da conversa precisam concordar em fazê-lo; caso contrário, um lado esperará uma comunicação clara e o outro lado esperará uma comunicação criptografada e tudo dará errado.

Garantir que ambos os lados usem o mesmo tipo de comunicação (ou seja, criptografada ou não criptografada) pode ser feito de duas maneiras:

• Você suporta uma versão "não criptografada" do protocolo em uma porta e uma versão "criptografada" do protocolo na outra. Os clientes que se conectam à porta "criptografada" iniciarão o handshake TLS imediatamente após a conexão e nenhuma comunicação não criptografada ocorrerá
• Você oferece suporte a um comando "atualize a conexão para TLS" na porta não criptografada. Esta é a STARTTLSmaneira de fazer as coisas. Nesse método, os clientes se conectam à porta não criptografada e, em seguida, enviam (às claras) um comando ao servidor para atualizar para TLS. A partir daí, tudo será criptografado.

Ambos os lados têm suas vantagens e desvantagens, e não existe realmente uma maneira "melhor". A boa notícia é que você pode fazer as duas coisas ao mesmo tempo; a maioria dos softwares IMAP e SMTP suporta a execução em ambos os modos em paralelo.

Além disso, você deve ter cuidado para entender a diferença entre envio de e-mail e entrega de e-mail :

• O envio é quando seus clientes desejam enviar um e-mail para terceiros e precisam de um servidor "SMTP de saída" (você). Eles se conectam ao servidor, são autenticados de alguma forma (por exemplo, por meio de um nome de usuário e senha, ou conectando o endereço IP ou por algum outro meio) e, em seguida, usam o protocolo SMTP para enviar e-mails para entrega. Cabe então ao seu servidor garantir que os e-mails em questão cheguem ao seu destino final. Para fornecer um serviço útil aos seus clientes, os clientes de envio devem ter permissão para enviar e-mail para toda a Internet. A porta 587 é fornecida como uma porta padrão para clientes de envio, mas você pode escolher qualquer uma que desejar, se preferir.
• A entrega é para quando seu servidor é o destino final de um e-mail enviado por terceiros . Como o servidor de envio não requer nenhum relacionamento de cliente com seu servidor, ele não pode ser autenticado. Em vez disso, ele procura o endereço do seu servidor por meio do registro MX no DNS e, em seguida, conecta-se ao seu servidor na porta 25. Ele entrega os e-mails ao seu servidor e espera que você garanta que ele chegue ao destinatário final. Para evitar que se torne um retransmissor de SPAM, os clientes de entrega não devem ser autorizados a enviar e-mail para toda a Internet. A porta 25 é a única porta permitida para clientes de entrega.

Se STARTTLSestiver habilitado na porta 25, o TLS pode ser usado para clientes de entrega. Se você usar a porta 587, deverá usar como padrão a comunicação não criptografada e fornecer o STARTTLScomando. Se você quiser usar o método mais antigo de "conectar com handshake TLS imediato", use a porta 465.