יציאה 465 ו-587: SMTP עם TLS

כשאתה מגדיר לקוח דוא"ל לשליחת הודעות, אתה מתבקש לבחור בין יציאה 465 לבין יציאה 587. שתיהן מטפלות ב-SMTP מוצפן. שתיהן עובדות. אבל יש להן היסטוריה מוזרה שמסבירה מדוע הבחירה הזו בכלל קיימת.

היציאה שסירבה למות

יציאה 465 הוקצתה ל-SMTP מוצפן בסוף שנות ה-90. היא השתמשה ב-TLS מרומז — החיבור היה מוצפן מהחבילה הראשונה, ללא צורך במשא ומתן.

אז ב-1998, רשות מספרי האינטרנט המוקצים (IANA) ביטלה את ההקצאה. יציאה 465 הוקצתה מחדש לשירות שונה לחלוטין. ההחלפה הרשמית הייתה יציאה 587, שהשתמשה בגישה שונה: להתחיל ללא הצפנה, ואז לשדרג ל-TLS באמצעות פקודה הנקראת STARTTLS.

הייתה רק בעיה אחת. מיליוני לקוחות דוא"ל כבר היו מוגדרים להשתמש ביציאה 465. ואותם משתמשים לא איכפת להם מה IANA אמרה. הם המשיכו להשתמש בה. ספקי הדוא"ל המשיכו לתמוך בה. היציאה שמתה רשמית שרדה יותר מזו שקיבלה את הברכה הרשמית — עימות של עשרים שנה בין מה שהסטנדרטים אמרו לבין מה שהאינטרנט באמת עשה.

ב-2018, IANA נכנעה. RFC 8314 החייה רשמית את יציאה 465 להגשת דוא"ל מוצפן, ואף המליץ עליה על פני יציאה 587 כששתיהן זמינות.

כיצד הן שונות

יציאה 587: TLS מפורש (STARTTLS)

הלקוח שלך מתחבר ללא הצפנה. השרת מכריז על יכולותיו, כולל תמיכה ב-STARTTLS. הלקוח שלך אומר "בואו נצפין את זה," ושני הצדדים מנהלים משא ומתן על חיבור TLS. רק אז אתה מאמת ושולח את ההודעה שלך.

הפגיעות: אותו חילוף ראשוני הלא מוצפן. תוקף שמצוי בינך לבין השרת יכול להסיר את הכרזת STARTTLS, ולגרום ללקוח שלך לשלוח אישורים בטקסט רגיל. זה נקרא מתקפת שדרוג לאחור. לקוחות מוגדרים היטב מסרבים להמשיך ללא הצפנה, אבל חלון המתקפה קיים.

יציאה 465: TLS מרומז

לחיצת יד TLS מתחילה מיד. אין שלב לא מוצפן. אין משא ומתן על STARTTLS. אין חלון מתקפת שדרוג לאחור. החיבור מוצפן מהבייט הראשון.

זו הסיבה ש-RFC 8314 ממליץ על TLS מרומז כשהוא זמין — הוא מבטל קטגוריה שלמה של מתקפות על ידי עיצוב ולא על ידי הגדרה.

איזו יציאה להשתמש

בדוק תחילה את תיעוד ספק הדוא"ל שלך. הם יגידו לך איזו יציאה הם מעדיפים.

אם אתה בוחר ללא הנחיה:

• יציאה 587 עם STARTTLS עובדת בכל מקום. זו הבחירה התואמת ביותר. אם יציאה אחת הולכת לעבוד, זו היא.

• יציאה 465 עם TLS מרומז מאובטחת יותר מבחינת עיצוב ומומלצת יותר ויותר. Gmail, Outlook, ורוב הספקים הגדולים תומכים בה.

• יציאה 25 מיועדת לתקשורת בין שרתים. אל תשתמש בה ללקוחות דוא"ל. רוב ספקי האינטרנט חוסמים אותה ממילא כדי למנוע דואר זבל.

הגדרות תצורה

לקוחות דוא"ל משתמשים בתוויות מבלבלות. הנה מה שהן אומרות:

תמיד אפשר אימות. שתי היציאות דורשות אותו בשרתים מודרניים.

אם חיבורים נכשלים, ייתכן שהרשת שלך חוסמת יציאה אחת. רשתות ארגוניות ו-Wi-Fi ציבורי חוסמים לעתים קרובות את 465 בעוד הם מאפשרים 587, או להיפך. נסה את היציאה האחרת.

הדפוס הרחב יותר

סיפור יציאה 465 משקף שינוי רחב יותר באופן שבו האינטרנט חושב על אבטחה. המודל הישן: הצפנה היא אופציונלית, מוסכמת לאחר ההתחברות. המודל החדש: הצפנה היא חובה, מובנית מהתחלה.

STARTTLS היה פשרה סבירה ב-1998. התחל תואם, שדרג כשאפשר. אבל "כשאפשר" יצר יותר מדי הזדמנויות לדברים להשתבש — או לגרום להם להשתבש. TLS מרומז אומר: אין אפשרות לא מוצפנת. החיבור מאובטח, או שהוא כלל לא מתרחש.

שתי היציאות עובדות באופן אמין היום. אבל תחיית יציאה 465 אחרי עשרים שנה במדבר אומרת לך לאן הדברים פונים.

שאלות נפוצות על יציאות SMTP 465 ו-587

מדוע שתי היציאות עדיין קיימות אם אחת מהן מאובטחת יותר?

תאימות לאחור. מיליוני מכשירים, סקריפטים ואפליקציות מוגדרים ליציאה 587. הוצאה משימוש שלה תשבור זרימות עבודה אין-ספור של דוא"ל. שתי היציאות יתקיימו יחד בשנים הקרובות, ואולי אף לעשורים.

האם אני יכול להשתמש ביציאה 25 אם יציאות 465 ו-587 חסומות?

לא סביר. רוב ספקי האינטרנט חוסמים תעבורה יוצאת ביציאה 25 מחיבורים ביתיים ועסקיים כדי למנוע ממחשבים שנפגעו מלשלוח דואר זבל. יציאה 25 מיועדת לשרתי דואר המתקשרים ביניהם, לא ללקוחות דוא"ל.

האם הדוא"ל שלי פחות מאובטח ביציאה 587 מאשר ביציאה 465?

בפועל, שתיהן מאובטחות כשמוגדרות כראוי. הפגיעות התיאורטית עם STARTTLS דורשת שתוקף יהיה ממוקם בינך לבין שרת הדואר שלך — עמדה שקשה להשגה. אבל יציאה 465 מבטלת את הפגיעות לחלוטין, וזו הסיבה שהיא מועדפת יותר ויותר.

מה המשמעות האמיתית של TLS "מרומז" לעומת "מפורש"?

מרומז פירושו שהצפנה מונחת כמובן מאליה — לחיצת היד TLS מתחילה מיד. מפורש פירושו שהצפנה צריכה להתבקש — החיבור מתחיל ללא הצפנה ומשדרג באמצעות פקודת STARTTLS. המונחים מתארים מתי ההצפנה מתחילה, לא כמה חזקה היא.