Portar

Port 587: SMTP submission

Autentiserad e-postinlämning från klienter och applikationer. Föredraget för utgående e-post från användare.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 587 är standardporten för SMTP meddelandeinlämning, vilket betyder e-post som skickas från användare eller applikationer till deras utgående e-postserver. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En inlämningsserver lyssnar på 587 och en klient ansluter från en tillfällig källport. Efter TCP-handskakningen utbyter de två sidorna SMTP-kommandon, och sessionen uppgraderas vanligtvis till TLS med STARTTLS innan autentiseringsuppgifterna skickas.

Klienten autentiserar och skickar meddelandet, och servern tillämpar policy och vidarebefordrar det vidare. Detta skiljer sig från port 25, som huvudsakligen är server-till-server-relä, och från port 465, som förväntar sig TLS omedelbart snarare än att förhandla om en uppgradering.

Ur säkerhetssynpunkt är 587 designad för autentisering och missbrukskontroller. Om det är felkonfigurerat som ett öppet relä eller om autentiseringsuppgifterna är svaga, kan angripare använda den för att skicka skräppost eller för att imitera användare.

Hur det fungerar i stora drag

  1. Klienten ansluter och utfärdar SMTP-kommandon för att identifiera sig själv och förhandla om kapacitet.
  2. Klienten uppgraderar till TLS med STARTTLS vid behov, och autentiserar och skickar meddelandet.
  3. Servern tillämpar inlämningsregler och vidarebefordrar meddelandet till mottagarna.

Konkret exempel

En webbapplikation skickar e-postmeddelanden om lösenordsåterställning. Den ansluter till leverantören på 587, förhandlar STARTTLS, autentiserar med ett tjänstekonto och skickar meddelandet för leverans.

Varför det är viktigt

Att använda 587 minskar skräppostrisken eftersom du kan tillämpa autentisering, hastighetsgränser och avsändarpolicy. I säkerhetsgranskningar bör applikationer som skickar e-post använda inlämning snarare än att försöka prata direkt till det öppna internet på port 25.

Säkerhetsperspektiv

  • Kräv autentisering och tillämpa hastighetsgränser och avsändarpolicyer.
  • Kräv TLS och validera certifikat på klienter där så är möjligt.
  • Använd appspecifika referenser eller OAuth och rotera hemligheter.

Vanliga fallgropar

  • Använder 25 för applikationens utgående e-post och blir sedan blockerad av nätverk eller svartlistad.
  • Misslyckas med att kräva TLS, vilket tillåter nedgraderingsattacker på opportunistiska STARTTLS.
  • Hårdkodning av referenser i appar utan rotation eller hemlighetshantering.