עודכן לפני חודשיים
כך שרתי הדואר מדברים זה עם זה. פורט 25 כבר לא בשבילך.
משפט יחיד זה מתאר שינוי שלקח שני עשורים להתרחש. פורט 25 עדיין מהווה את הערוץ הסטנדרטי למשלוח דואר אלקטרוני משרת לשרת, אך עבור משתמשים פרטיים הוא נחסם באופן שיטתי על ידי ספקיות אינטרנט ברחבי העולם. כדי להבין מדוע, צריך להבין מה קרה כאשר מודל האמון הישן של האינטרנט פגש את מציאות הגדילה.
מה SMTP באמת עושה
פרוטוקול העברת הדואר הפשוט (SMTP) מעביר דואר אלקטרוני ברחבי האינטרנט. כאשר אתם שולחים הודעה, SMTP מטפל במסע מהשרת שלכם אל השרת של הנמען — ולעיתים עובר דרך שרתי ביניים בדרך.
הפרוטוקול פשוט באופן מרענן: שרת שולח מתחבר לשרת מקבל, מזדהה, מציין שולח ונמען, ומשדר את ההודעה. השרת המקבל מאשר אותה, דוחה אותה, או מעביר אותה קרוב יותר ליעד. זה הכל. SMTP עובד כך מאז 1982.
העיצוב המקורי: אמון כברירת מחדל
פורט 25 הוקצה ל-SMTP בשנת 1982, מה שהופך אותו לאחד מהקצאות הפורטים הוותיקות ביותר שעדיין בשימוש. במשך עשורים, הוא שירת שתי מטרות: ממסר משרת לשרת וגם הגשת הודעות ממשתמשים. כל אחד יכול היה להתחבר לפורט 25, למסור הודעה, והשרת היה מנסה לבצע את המשלוח. ללא פרטי זיהוי כלשהם.
זה לא היה תמים — זה היה מכוון. האינטרנט הקדום היה קטן מספיק כדי שאחריות תתקיים בתוך הקהילה. אם מישהו ניצל לרעה את המערכת, ניתן היה לאתר אותו. שרתי הדואר פעלו כשכנים מסייעים, מעבירים הודעות לכיוון יעדן ללא דרישה לזיהוי.
ואז האינטרנט גדל. והשכנים השתנו.
מה נשבר
בתחילת שנות ה-2000, רוב תעבורת הדואר האלקטרוני הייתה ספאם. שולחי הספאם גילו שהם יכולים להתחבר ישירות לשרתי דואר בפורט 25 ולהפיץ מיליוני הודעות ללא אימות ואחריות. מחשבים ביתיים שנפגעו — נגועים בתוכנות זדוניות — הפכו לתותחי ספאם, מתחברים לפורט 25 בשרתי דואר ברחבי העולם.
מודל האמון שעבד בכפר נכשל בעיר. הדלת הפתוחה הפכה לפצע פתוח.
מדוע ספקיות האינטרנט חוסמות את פורט 25
כיום, רוב ספקיות האינטרנט הביתיות חוסמות חיבורים יוצאים בפורט 25. החסימה מתרחשת בשולי הרשת: המחשב שלכם פשוט אינו יכול לבסס חיבור TCP לפורט 25 בשרתים חיצוניים.
המטרה היא תוכנות זדוניות. כאשר מחשב נגוע, אחד הדברים הראשונים שהתוכנה הזדונית מנסה לעשות הוא לשלוח ספאם ישירות לשרתי דואר בפורט 25, תוך עקיפת תשתית הדואר החוקית של הספק. חסימת פורט 25 מונעת ממכונות שנפגעו להפוך לצמתי הפצת ספאם.
צעד יחיד זה הפחית באופן דרמטי את הספאם שמקורו במחשבים ביתיים נגועים וברשתות בוט. הוא גולמי, אבל עובד.
חיבורים עסקיים לעיתים קרובות אינם כוללים הגבלה זו — עסקים לגיטימיים עשויים להזדקק להפעיל שרתי דואר משלהם. אבל עבור משתמשים ביתיים, פורט 25 חסום בפועל לחיבורים יוצאים.
החלופה: פורטים 587 ו-465
כאשר פורט 25 נחסם למשתמשי הקצה, תשתית הדואר האלקטרוני התפתחה כדי להפריד בין שתי פונקציות שהיו משולבות: הגשת הודעות (משתמשים ששולחים דואר) וממסר הודעות (שרתים שמעבירים דואר אחד לשני).
פורט 587 מטפל בהגשה. הוא יועד לצורך זה בשנת 1998, וזהו המקום שבו לקוח הדואר שלכם — Outlook, Apple Mail, Thunderbird — מתחבר לשליחת הודעות יוצאות. בשונה מפורט 25, פורט 587 דורש אימות. אתם מוכיחים מי אתם לפני שהשרת מאשר את הדואר שלכם. זה יוצר אחריות.
שרתים מודרניים מצפים ל-STARTTLS בפורט 587, אשר משדרג את החיבור לחיבור מוצפן. פרטי הכניסה ותוכן ההודעה שלכם מועברים בצורה מוגנת.
פורט 465 משתמש ב-TLS משתמע — הצפנה מרגע החיבור, במקום שדרוג באמצע השיחה. הוא בוטל לזמן קצר, ואז הוחזר בשקט מאחר שאנשים המשיכו להשתמש בו. שני הפורטים משיגים את אותה המטרה: הגשת הודעות מאומתת ומוצפנת.
רוב שירותי הדואר תומכים בשניהם. פורט 587 עם STARTTLS הוא ההמלצה הנפוצה יותר, אך פורט 465 עובד בסדר גמור.
פורט 25 אינו מת — רק מיוחד
משלוח משרת לשרת עדיין מתבצע בפורט 25. כאשר Gmail צריך לספק את ההודעה שלכם ל-Outlook.com, ההגשה שלכם עשויה להשתמש בפורט 587 — אך שרתי Gmail מתחברים לשרתי Outlook בפורט 25.
ארגונים המפעילים שרתי דואר משלהם משאירים את פורט 25 פתוח לדואר נכנס מהאינטרנט הרחב, גם כאשר הם חוסמים את המשתמשים שלהם מלשלוח דרכו.
פרצת האבטחה בפורט 25 מטופלת כעת באופן שונה. SPF (מסגרת מדיניות שולח) מאפשרת לדומיינים להצהיר אילו שרתים רשאים לשלוח בשמם. DKIM (דואר מזוהה עם מפתחות דומיין) מוסיף חתימות קריפטוגרפיות. DMARC (אימות הודעות מבוסס דומיין, דיווח ותאימות) קושר אותם יחד עם אכיפת מדיניות. טכנולוגיות אלה עוזרות לשרתים מקבלים לאמת שהדואר אכן מגיע ממי שהוא טוען שהוא.
מה זה אומר לכם
אם אתם מגדירים דואר אלקטרוני במכשיר חדש או מאתרים תקלות במשלוח: השתמשו בפורט 587 עם STARTTLS, או בפורט 465 עם TLS משתמע. הפעילו אימות. אל תנסו פורט 25 — הוא כמעט בוודאות חסום, ואפילו אם לא, שרתי דואר לגיטימיים לא יקבלו עוד הגשה ללא אימות.
פורט 25 עדיין מהווה את עמוד השדרה של משלוח דואר אלקטרוני משרת לשרת. אך עבור משתמשים, זוהי דלת שנסגרה לפני שנים. החלופה — הגשה מאומתת בפורט 587 או 465 — בטוחה יותר, אחראית יותר, ופשוט עובדת.
האינטרנט בגר. פורט 25 מעיד על כך.
שאלות נפוצות על פורט 25 ו-SMTP
מדוע אני לא יכול להתחבר לפורט 25 מהרשת הביתית שלי?
ספקית האינטרנט שלכם כמעט בוודאות חוסמת חיבורים יוצאים לפורט 25 כצעד נגד ספאם. זה מונע ממחשבים נגועים בתוכנות זדוניות לשלוח ספאם ישירות לשרתי דואר. השתמשו בפורט 587 או 465 במקום, לשליחת דואר אלקטרוני דרך ספק הדואר שלכם.
מה ההבדל בין פורט 587 לפורט 465?
שניהם מטפלים בהגשת דואר אלקטרוני מאומת. פורט 587 מתחיל ללא הצפנה ומשדרג ל-TLS דרך STARTTLS. פורט 465 משתמש בהצפנה מהבייט הראשון. שניהם מאובטחים; פורט 587 מומלץ יותר בדרך כלל, אך כל אחד מהם עובד.
האם פורט 25 אינו מאובטח?
פורט 25 כשלעצמו אינו פגיע מטבעו — חוסר האימות הנדרש הוא שיצר את הבעיות. תקשורת מודרנית משרת לשרת בפורט 25 משתמשת ב-SPF, DKIM ו-DMARC לצורך אימות. הפגיעות הייתה לאפשר לכל אחד לשלוח דרכו ללא הוכחת זהות.
האם אני צריך שפורט 25 יהיה פתוח כדי לקבל דואר אלקטרוני?
רק אם אתם מפעילים שרת דואר משלכם. השרת צריך לקבל חיבורים נכנסים בפורט 25 משרתי דואר אחרים שמספקים אליכם הודעות. משתמשים רגילים שמקבלים דואר אלקטרוני דרך Gmail, Outlook, או שירותים דומים אינם צריכים לדאוג לכך — ספקים אלה מטפלים בכך.
האם דף זה היה מועיל?