포트 465와 587: TLS를 사용하는 SMTP

이메일 클라이언트를 설정해서 메시지를 보내려 할 때, 포트 465와 포트 587 중 하나를 선택하라는 요청을 받게 됩니다. 둘 다 암호화된 SMTP를 처리합니다. 둘 다 작동합니다. 하지만 이 선택지가 애초에 존재하게 된 데에는 기묘한 역사가 있습니다.

죽기를 거부한 포트

포트 465는 1990년대 후반, 암호화된 SMTP를 위해 지정되었습니다. 암묵적 TLS 방식을 사용했는데, 첫 번째 패킷부터 연결이 암호화되어 별도의 협상이 필요 없었습니다.

그러다 1998년, IANA(인터넷 할당 번호 관리기관)가 해당 지정을 취소했습니다. 포트 465는 전혀 다른 서비스에 재할당되었습니다. 공식적인 대체 포트는 587로, 다른 방식을 사용했습니다. 처음에는 암호화 없이 연결한 다음, STARTTLS라는 명령으로 TLS로 업그레이드하는 방식이었습니다.

문제가 딱 하나 있었습니다. 이미 수백만 개의 이메일 클라이언트가 포트 465를 사용하도록 설정되어 있었던 것입니다. 그리고 그 사용자들은 IANA가 뭐라 하든 신경 쓰지 않았습니다. 그들은 계속 포트 465를 사용했고, 이메일 서비스 업체들도 계속 지원했습니다. 공식적으로 폐기된 포트가 공식적으로 승인된 포트보다 오래 살아남은 것입니다. 표준이 정한 것과 실제 인터넷이 하는 것 사이에서 20년간의 줄다리기가 이어졌습니다.

2018년, IANA가 항복했습니다. RFC 8314는 포트 465를 암호화된 이메일 전송을 위해 공식적으로 부활시켰고, 두 포트 모두 사용 가능한 경우 포트 587보다 포트 465를 권장하기까지 했습니다.

두 포트의 차이점

포트 587: 명시적 TLS (STARTTLS)

클라이언트가 암호화 없이 연결합니다. 서버가 STARTTLS 지원을 포함한 자신의 기능을 광고합니다. 클라이언트가 "이걸 암호화합시다"라고 말하면, 양측이 TLS 연결을 협상합니다. 그런 다음에야 인증하고 메시지를 보냅니다.

취약점은 초기의 암호화되지 않은 교환에 있습니다. 클라이언트와 서버 사이에 위치한 공격자가 STARTTLS 광고를 제거하여 클라이언트가 자격 증명을 평문으로 전송하도록 만들 수 있습니다. 이것을 다운그레이드 공격이라고 합니다. 잘 설정된 클라이언트는 암호화 없이는 진행을 거부하지만, 공격의 여지는 여전히 존재합니다.

포트 465: 암묵적 TLS

TLS 핸드셰이크가 즉시 시작됩니다. 암호화되지 않은 단계가 없습니다. STARTTLS 협상도 없습니다. 다운그레이드 공격의 여지도 없습니다. 첫 번째 바이트부터 연결이 암호화됩니다.

이것이 RFC 8314가 사용 가능할 때 암묵적 TLS를 권장하는 이유입니다. 설정이 아닌 설계 자체로 공격의 전체 유형을 없애버립니다.

어떤 포트를 사용해야 할까

우선 이메일 서비스 업체의 문서를 확인하세요. 어떤 포트를 선호하는지 알려줄 것입니다.

별도 안내가 없다면:

• STARTTLS를 사용하는 포트 587은 어디서나 작동합니다. 가장 호환성이 좋은 선택입니다. 어떤 포트 하나만 된다면, 바로 이것입니다.

• 암묵적 TLS를 사용하는 포트 465는 설계상 더 안전하며 점점 더 권장되고 있습니다. Gmail, Outlook 및 대부분의 주요 서비스 업체가 지원합니다.

• 포트 25는 서버 간 통신을 위한 것입니다. 이메일 클라이언트에는 사용하지 마세요. 스팸 방지를 위해 대부분의 ISP가 어차피 차단합니다.

설정 옵션

이메일 클라이언트들은 혼란스러운 표현을 사용합니다. 각각의 의미는 다음과 같습니다:

항상 인증을 활성화하세요. 현대적인 서버에서는 두 포트 모두 인증이 필요합니다.

연결이 실패한다면, 네트워크가 특정 포트를 차단하고 있을 수 있습니다. 기업 네트워크나 공공 Wi-Fi에서는 587은 허용하면서 465를 차단하거나, 반대인 경우도 종종 있습니다. 다른 포트를 시도해 보세요.

더 넓은 맥락

포트 465의 이야기는 인터넷이 보안을 바라보는 방식의 더 큰 변화를 반영합니다. 예전 방식: 암호화는 선택 사항이며, 연결 후에 협상합니다. 새로운 방식: 암호화는 필수이며, 처음부터 내장되어 있습니다.

STARTTLS는 1998년에는 합리적인 타협안이었습니다. 호환성 있게 시작하고, 가능하면 업그레이드하는 것. 하지만 "가능하면"이라는 말이 너무 많은 잘못될 여지를 만들어 냈습니다. 또는 의도적으로 잘못되게 만들어질 여지를. 암묵적 TLS는 이렇게 선언합니다: 암호화되지 않은 선택지는 없다. 연결은 안전하거나, 아예 이루어지지 않습니다.

두 포트 모두 오늘날 안정적으로 작동합니다. 하지만 포트 465가 20년 만에 부활한 것을 보면, 흐름이 어디로 향하는지 알 수 있습니다.

SMTP 포트 465와 587에 관한 자주 묻는 질문

하나가 더 안전한데 왜 두 포트가 아직도 존재하나요?

하위 호환성 때문입니다. 수백만 개의 기기, 스크립트, 애플리케이션이 포트 587을 사용하도록 설정되어 있습니다. 이를 폐기하면 수많은 이메일 워크플로우가 중단될 것입니다. 두 포트는 수년, 어쩌면 수십 년간 공존할 것입니다.

포트 465와 587이 모두 차단되었다면 포트 25를 사용할 수 있나요?

작동하기 어렵습니다. 감염된 컴퓨터가 스팸을 보내는 것을 방지하기 위해 대부분의 ISP는 가정 및 기업 연결에서 포트 25의 아웃바운드 트래픽을 차단합니다. 포트 25는 이메일 클라이언트가 아닌 메일 서버 간 통신을 위해 설계된 것입니다.

포트 587이 포트 465보다 덜 안전한가요?

실제로는 두 포트 모두 제대로 설정되면 안전합니다. STARTTLS의 이론적 취약점을 활용하려면 공격자가 귀하와 메일 서버 사이에 위치해야 하는데, 이는 달성하기 어려운 조건입니다. 하지만 포트 465는 취약점 자체를 없애기 때문에 점점 더 선호되고 있습니다.

"암묵적" TLS와 "명시적" TLS는 실제로 무슨 의미인가요?

암묵적이란 암호화가 당연한 것으로 가정된다는 의미입니다. TLS 핸드셰이크가 즉시 시작됩니다. 명시적이란 암호화를 요청해야 한다는 의미입니다. 연결이 암호화 없이 시작되었다가 STARTTLS 명령을 통해 업그레이드됩니다. 이 용어들은 암호화가 얼마나 강력한지가 아니라 언제 시작되는지를 설명합니다.