Portar

Port 25: SMTP relay

Server till server e-postöverföring. Inte avsett för slutanvändare.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 25 används för SMTP, protokollet som flyttar e-post mellan e-postservrar. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En sändande server öppnar en TCP-anslutning från en tillfällig källport till en mottagande server på destinationsport 25, slutför handskakningen och utbyter sedan SMTP-kommandon för att överföra ett meddelande till nästa hopp.

Port 25 är i första hand för server till server relä på det öppna internet. Slutanvändarklienter och applikationer ska vanligtvis inte skicka e-post direkt till slumpmässiga servrar på 25, varför meddelandeinlämning vanligtvis görs på port 587 eller 465 med autentisering.

Eftersom missbruk är vanligt, begränsar många nätverk utgående 25, och felkonfigurerade servrar som accepterar oautentiserat relä på 25 vänjer sig snabbt för skräppost. När du ser 25 exponerade är nyckelfrågan om det avsiktligt är en e-postväxlare och om den är härdad, patchad och konfigurerad för att vägra öppet relä.

Hur det fungerar i stora drag

  1. En klientmailserver öppnar en TCP-anslutning och talar SMTP-kommandon för att leverera ett meddelande.
  2. Servern tillämpar policy, spamkontroller och routingbeslut och accepterar och ställer sedan i kö meddelandet.
  3. Den mottagande servern kan vidarebefordra meddelandet internt eller vidarebefordra det vidare till nästa hopp.

Konkret exempel

Ditt företags e-postgateway tar emot e-post från internet den 25. En annan MTA ansluter, förhandlar STARTTLS och överför ett meddelande som sedan skannas och levereras till interna brevlådor.

Varför det är viktigt

Om port 25 är öppen inkommande kan din värd fungera som en e-postväxlare eller ett relä. Felkonfiguration kan göra det till ett öppet relä, vilket är en snabb väg till svartlistning. Som incidentrespons är oväntad SMTP den 25 också ett vanligt tecken på skadlig programvara som försöker exfiltrera data via e-post.

Säkerhetsperspektiv

  • Använd port 587 för autentiserad inlämning och behåll 25 endast för server till server.
  • Kräv STARTTLS där så är lämpligt och övervaka för onormala volymer.
  • Begränsa vidarebefordran till betrodda avsändare och förstärk din MTA-konfiguration.

Vanliga fallgropar

  • Kör ett öppet relä eller svaga antispamkontroller.
  • Låter ansökningar skicka e-post direkt på 25 istället för att använda inlämning på 587.
  • Förutsatt att kryptering sker automatiskt. SMTP börjar vanligtvis i klartext om inte STARTTLS förhandlas fram och tillämpas.