Ik wil in mijn mailprogramma een nieuw mailaccount instellen en nu staat er in de documentatie dat ik voor de SMTP server mag kiezen tussen poort 465 of 587. Nu heb ik even wat verder gelezen op internet, en als ik het goed begrijp wordt poort 465 gebruikt voor SSL en poort 587 voor STARTTLS. Maar welk protocol moet ik nu kiezen? Is het een beter/veiliger dan het ander?
587 is een alternatief voor poort 25: 587 is de zogeheten submission poort, welke bedoeld is voor de binnenkomst van e-mail vanuit een e-mailclient. STARTTLS verschilt in essentie niet van TLS, omdat TLS gewoon een "opvolger" is die hetzelfde behandeld kan worden: in de basis zijn ze hetzelfde.
In een ver verleden waren er 2 poorten: 1 voor SSL/TLS en 1 voor plaintext verkeer. Op een zeker moment is besloten dat dit zonde was, en is het STARTTLS commando in het leven geroepen: vanaf het moment dat STARTTLS wordt uitgevoerd wordt het verkeer tussen client en server versleuteld. De enige reden voor het bestaan van aparte poorten (25/587 voor plaintext en 465 voor SSL/TLS) is legacy.
Ik kan in mijn mailprogramma kiezen uit de versleutelingsmethodes "SSL/TLS" of "STARTTLS", en de mailprovider geeft aan dat ik kan kiezen uit poort 465 of 587. Er zijn dus 4 opties:
Qua veiligheid maakt het niet zoveel uit. Het enige verschil is dat de SSL/TLS optie alles versleutelt, dus ook de HELO/EHLO. Bij STARTTLS is dat niet het geval. Het enige dat dat betekent is dat iemand kan zien dat je een mail wil versturen als je STARTTLS gebruikt. Aan de andere kant, het feit dat je verbinding maakt zegt ook al genoeg.
Maar dat is wel het antwoord.
Het maakt niets uit welke je gebruikt, ze zijn identiek qua veiligheid. 465 bestaat omdat het eerder al bestond, 587 is nieuwer, en is net zo veilig.
[size=xsmall]Toevoeging op 20/09/2015 15:42:05:[/size]
Kortgezegd is het gewoon voorkeur en/of wat je mailclient ondersteunt.
Ik heb maar één vraag ... welke poort moet ik gebruiken 465 of 587? En welk protocol SSL/TLS of STARTTLS?
Iemand, alsjeblieft?
Als port 25, een ouderwetse mail port gebruikt word voor plain text emails en poort 587 een alternatief daar voor is, heb je je antwoord toch al?
Als ik referenties bekijk op Internet zou poort 465 veiliger moeten zijn, omdat poort 587 alleen op smtp niveau encryptie uitvoert als deze daadwerkelijk ondersteund is op de server van de ISP.
Uiteindelijk maakt het niet uit wat je kiest want tegenwoordig worden vrijwel alle emails encrypted verstuurd maakt niet uit welke poort. Maar als ik een keuze zal maken zal ik kijken wat anderen doen, bijvoorbeeld onze grote zoek gigant. Die gebruikt 465.
Ik zou ten stelligste afraden om poort 465 te kiezen.
Poort 465 is in 1997 geregistreerd bij de IANA, maar al in 1998 is die registratie teruggetrokken, omdat inmiddels STARTTLS was gespecificeerd. Het gebruik van poort 465 voor email valt dus al 17 (!) jaar buiten de standaards. Inmiddels is poort 465 geregistreerd voor een andere toepassing (Source-Specific Multicast) dus eigenlijk is het zelfs link om poort 465 te blijven gebruiken.
De voornaamste reden dat poort 465 nog steeds in gebruik is, is omdat enkele oude Microsoft Meuk Mailpakketten het versturen van mail via STARTTLS niet ondersteunen.
Mijn advies zou dus zijn om absoluut geen poort 465 te gebruiken. Niet een kwestie van voorkeur, zoals Ben zegt (alhoewel ik het met de rest van zijn opmerkingen verder wel eens ben), maar het gebruiken van poort 465 als er geen dwingende redenen zijn om dat te doen (legacy software, firewall) is simpelweg 'not done'.
In de post van Johan lees ik dat onze grote zoekgigant (die met de G?) poort 465 gebruikt. Als ik naar mijn eigen account daar kijk, zie ik gewoon poort 587 staan. Google zal poort 465 ondersteunen omdat er ongetwijfeld nog wel ergens iemand is die Entourage als mailer gebruikt, of Outlook 2011 for Mac, of zoiets dergelijks, maar dat zou ik niet als normatief beschouwen.
Wat betreft het mogelijk gepercipieerde verschil in veiligheid (omdat STARTTLS de HELO/EHLO niet versleutelt) wil ik opmerken dat zowel bij poort 465 als bij poort 587 je niet weet wat er met je mail gebeurt nádat je die hebt verstuurd. Het kan best zijn dat verderop in de keten alsnog een of meer onbeveiligde verbindingen zitten. Het versturen van (al dan niet gevoelige) informatie via SMTP is inherent onveilig. Waak er dus voor dat je je niet een vals gevoel van veiligheid aanpraat door je mail te versturen via een beveiligde verbinding, of dat nu via STARTTLS is of via SSL.
