建议将哪些端口用于安全邮件？

用于正常（明文）和安全/加密通信的标准端口，按协议：

IMAP: normal 143, secure 993
POP:  normal 110, secure 995
SMTP: normal 25,  secure 465/587

令人困惑的是 SMTP 有两个安全端口。您应该将 465 用于 SSL/TLS 和 587 STARTTLS（请参阅本页的最后一部分），尽管这不是强制性的。

解决您的第二个问题：这些是服务器的端口号，而不是您的机器，因此如果其中一个无法访问，您将无法使用它。此外，这些端口用于保护您与您发送邮件的邮件服务器之间的通信。它与邮件中继如何将邮件传递到最终目的地的服务器无关。

您想要保护通信，而不是切换到其他端口。

TLS 是一种加密通信的协议。然而，为了能够使用 TLS，对话双方需要就这样做达成一致；否则一方会期待明文通信，另一方期待加密通信，一切都会出错。

确保双方使用相同（即加密或未加密）类型的通信可以通过两种方式完成：

• 您在一个端口上支持协议的“未加密”版本，在另一个端口上支持协议的“加密”版本。连接到“加密”端口的客户端在连接后会立即开始 TLS 握手，不会发生未加密的通信
• 您支持在未加密端口上执行“请将连接升级到 TLS”命令。这是STARTTLS做事的方式。在这种方法中，客户端连接到未加密的端口，然后（以明文形式）向服务器发送命令以升级到 TLS。从那时起，一切都将被加密。

双方都有自己的优点和缺点，并没有真正的“最佳”方式。好消息是你可以同时做这两件事。大多数 IMAP 和 SMTP 软件支持在两种模式下并行运行。

此外，您应该注意了解邮件提交和邮件传递之间的区别：

• 提交是当您的客户想要向第三方发送电子邮件并且需要“传出 SMTP”服务器（您）时。它们连接到服务器，以某种方式进行身份验证（例如，通过用户名和密码，或通过连接 IP 地址，或通过其他方式），然后使用 SMTP 协议提交电子邮件以进行传递。然后由您的服务器来确保有问题的电子邮件最终到达其最终目的地。为了向您的客户提供有用的服务，必须允许提交客户向整个 Internet 发送电子邮件。端口 587 作为提交客户端的标准端口提供，但如果您愿意，可以选择任何您喜欢的端口。
• 当您的服务器是第三方发送的电子邮件的最终目的地时，交付是指派送。由于发送服务器不需要与您的服务器有任何客户端关系，因此无法对其进行身份验证。相反，它会通过 DNS 中的 MX 记录查找您的服务器地址，然后在端口 25 上连接到您的服务器。它将电子邮件传送到您的服务器，并希望您确保它以最终收件人结束。为了避免成为垃圾邮件中继，不得允许投递客户端向整个 Internet 发送电子邮件。端口 25 是交付客户端唯一允许的端口。

如果STARTTLS在端口 25 上启用，则 TLS 可用于交付客户端。如果您使用端口 587，则应默认为未加密通信并提供STARTTLS命令。如果您想使用“立​​即 TLS 握手连接”的旧方法，则应使用端口 465。