Postfix smtps 和提交混淆

编辑：此答案基于 RFC-6409，不再正确，请参阅较新的 RFC-8314

端口 465 用于受 SSL 保护的 SMTP 连接。但是，由于 STARTTLS 的可用性，已弃用该端口用于 SMTP：“撤销 smtps TCP 端口”现在您不应再将端口 465 用于 SMTPS。相反，使用端口 25 从其他服务器接收您域的邮件，或使用端口 587 接收来自客户端的电子邮件，这些客户端需要通过您的服务器将邮件发送到其他域并因此发送到其他服务器。

作为附加说明，端口 587 专用于邮件提交 - 邮件提交旨在更改消息和/或提供身份验证：

• 为尝试提交邮件的客户提供和要求身份验证
• 提供安全机制以防止提交未经请求的批量邮件（垃圾邮件）或受感染的邮件（病毒等）
• 根据组织的需要修改邮件（重写发件人部分等）

提交到端口 587 应该支持 STARTTLS，因此可以加密。另请参阅RFC#6409。

TL;博士

新的建议是暂时支持提交/ smtps和使用 STARTTLS提交，一旦不再使用就逐步淘汰后者。（同样的建议也适用于 POP3 与 POP3S 以及 IMAP 与 IMAPS。）

细节

RFC 8314 第 3.3 节更改了最佳实践：

当为“提交”服务（默认端口 465）建立 TCP 连接时，TLS 握手立即开始。[…]

由于端口 465 的情况（在第 7.3 节中讨论），端口 587 上的 STARTTLS 机制部署相对广泛。这与 IMAP 和 POP 服务不同，其中隐式 TLS 比 STARTTLS 更广泛地部署在服务器上。 为了一致性以及 附录 A中讨论的其他原因，随着时间的推移将 MUA 软件使用的核心协议迁移到隐式 TLS 是可取的。 但是，为了最大限度地使用加密提交，最好在几年的过渡期内支持两种通过 TLS 提交消息的机制。因此，客户端和服务器应该在此过渡期间在端口 587 上实现 STARTTLS 和在端口 465 上实现隐式 TLS. 请注意，如果实现正确并且客户端和服务器都配置为要求在消息提交之前成功协商 TLS，则端口 587 上的 STARTTLS 和端口 465 上的隐式 TLS 的安全属性之间没有显着差异。

引用的附录 A然后详细说明了为所有 SMTP、POP3 和 IMAP 选择隐式 TLS 的决定，因为这些要点

1. 无论如何，我们只想在任何地方都有加密连接，因此在实际上不使用兼容性的情况下，维护所有这些协议的向后兼容版本是没有意义的
2. 由于在几个实现中存在相同的问题，因此存在 STARTTLS 协商阶段的漏洞利用

正如 IETF RFC8314 第 7.4 节 所述，“虽然 STARTTLS 已部署在端口 587 上，但它并没有取代在端口 465 上部署隐式 TLS 提交的使用。”

由于 578/tcp (STARTTLS) 太容易被中间人使用，465/tcp（直接 TLS）在 Internet 上部署了强大的 SMTP MTA。