Ik wil in mijn mailprogramma een nieuw mailaccount instellen en nu staat er in de documentatie dat ik voor de SMTP server mag kiezen tussen poort 465 of 587. Nu heb ik even wat verder gelezen op internet, en als ik het goed begrijp wordt poort 465 gebruikt voor SSL en poort 587 voor STARTTLS. Maar welk protocol moet ik nu kiezen? Is het een beter/veiliger dan het ander?
Poort 465 is voor gebruik met SSL/TLS.
Poort 587 is voor gebruik met STARTTLS.
In theorie is het mogelijk om SSL/TLS te gebruiken op poort 587 (of welk poortnummer dan ook), maar ik vrees dat er dan situaties zijn waarin je een hoop ellende over jezelf afroept.
Oke, thanks ... ik lees op sommige plekken dat STARTTLS minder veilig zou zijn dan ssl/tls omdat je bij STARTTLS niet 100% zeker bent dat de verbinding ge-encrypt wordt, of is dat onzin?
> niet 100% zeker bent dat de verbinding ge-encrypt wordt
Als je alle nuance eruit haalt, dan zou het kunnen kloppen. ;-)
Als de mailclient verbinding maakt met de server om mail af te leveren, doet hij dat initieel op een onbeveiligde verbinding. Daarna stuurt hij een STARTTLS-commando om de verbinding te upgraden naar een beveiligde verbinding.
Stel nu dat de server geen STARTTLS ondersteunt. Het upgraden van de verbinding mislukt dan. Op dat moment is het aan de mailclient om te bepalen wat er gebeurt: zal hij de mail toch afleveren via de onbeveiligde verbinding, of geeft hij een foutmelding? Ik gok zo dat de gemiddelde client waarbij je hebt ingesteld dat hij STARTTLS moet gebruiken, het laatste zal doen.
In jouw geval betreft het je eigen server. Daarvan weet je dat hij STARTTLS ondersteunt, want dat heb je immers zelf geconfigureerd. Je hoeft er dus niet bang voor te zijn dat de verbinding onbeveiligd is.
Stel jezelf tot slot de vraag: Als STARTTLS daadwerkelijk onveiliger zou zijn dan SSL/TLS, waarom zou dan al in 1998 de registratie van poort 465 zijn teruggetrokken?
Komt bij dat je niet zeker weet of alle servers in het pad naar aflevering STARTTLS ondersteunen. Overal op de route kan een mail onversleuteld worden doorgestuurd.
>> Overal op de route kan een mail onversleuteld worden doorgestuurd.
> is dat zowel bij ssl/tls als bij starttls het geval?
Ja. De beveiliging geldt alleen tussen jouw mailclient en de server. Eigenlijk wordt het voornamelijk gebruikt om in de authenticatiefase ervoor te zorgen dat jouw password niet in plaintext wordt verstuurd.
Als de mail moet worden doorgestuurd naar een andere server, hangt het ervan af of zowel de versturende als de ontvangende server STARTTLS ondersteunen. Zo ja, dan zal in principe de verbinding automatisch omschakelen naar een beveiligde verbinding, maar anders wordt de mail gewoon ongecrypt doorgestuurd. Als verstuurder heb je daar verder geen invloed op.
Die situatie kan altijd voorkomen. Het enige punt waar je versleuteling kunt forceren is tussen client en eerste mailserver. Daarbuiten kan ieder zijn eigen gang gaan.
> Of is bij SSL/TLS de verbinding wél altijd beveiligd?
Wat Ben zegt. En ik ook al een keer of twee. ;-)
Aanvulling: bij mailrelay, dus wanneer de mail door een server naar een andere server wordt doorgestuurd, wordt voor zover ik weet geen SSL/TLS gebruikt. Dat komt, omdat mailrelay altijd via poort 25 verloopt. De verbinding wordt dus altijd onbeveiligd opgezet en daarna eventueel omgezet naar een beveiligde verbinding. Dat kan alleen met STARTTLS en niet met SSL/TLS.
