[MASOCH-L] [GTER] Bloqueio Porta 25

Henrique de Moraes Holschuh henrique.holschuh at ima.sp.gov.br
Wed Mar 7 10:44:11 BRT 2012 

On 07-03-2012 10:13, Danilo Marques de Gouveia wrote:
> Eu tinha entendido que o meu MX iria escutar a porta 587 para
> receber E-mails.

Seu MX vai usar a porta 25.  Mas você vai bloquear nas firewalls para
que a porta 25 possa apenas ser utilizada pelo seu MX.

O que acontece é que é criado uma nova função no sistema de email, o MSA
(mail submissio agent), *que pode ficar no MX*.

Usuários só enviam email atráves de SMTP AUTENTICADO, porta 587, para o
MSA (que como eu disse, pode ser o seu MX).  O MSA envia via porta 25
mesmo para o MX, ou se for o próprio MX, para o resto do mundo.

Mas usuários precisam ser bloqueados para não mais falar via porta 25
com ninguém.  Aqui permitimos que falem via SMTP autenticado com o MSA
também na porta 25, mas não conseguem falar via porta 25 com mais
ninguém, e todo mundo é avisado para usar a porta 587.

Porta 587 deve ser liberada na firewall, se for o caso, para que
clientes externos possam enviar email através de você e para que
clientes internos possam enviar email via outros provedores de email.

> Então na verdade meu cliente sai pela porta 587 se conecta ao meu MX
> e o meu MX se conecta através da porta 25 com o Hotmail (por exemplo)
> é isso?

Sim.

> Ou eu devo colocar que o meu MX vai sair pela porta 587 para se
> conectar a outro domínio ?

Não, porta 587 é só para SMTP AUTENTICADO (é *obrigatório*), e só para
os MUAs (programas de email dos usuários) enviarem email para o MSA.

A nomeclatura ficou assim:

MUA :  programa de email do usuário

MSA :  o MUA conecta com o MSA para *enviar* email, porta 587,
        sempre autenticado.  O MSA então encaminha a email para um
        MTA via porta 25.

MTA :  servidor que encaminha emails, só fala com outros MTAs, MX
        e MSA.  Nunca fala com usuário final.  Usa a porta 25.

MX  :  MTA, em uma função que fala com MTAs externos (pode ser
        MX de entrada ou de saída).  Na verdade, era para ser só
        o MTA de entrada que está declarado no DNS, mas o termo meio
        que virou sinônimo de MTA de borda.

MDA :  último MTA na cadeia de transmissão, armazena a mensagem na
        caixa de mensagens do usuário.

Lembrar que isso é só o nome de chapéu, sites pequenos tem as funções de
MSA, MTA e MX, e às vezes até MDA na mesma máquina, rodando tudo na
mesma instância do exim/postfix/etc.

O protocolo falado na porta 587 é o ESMTPA (ESMTP autenticado) ou de
preferência o ESMTPSA (ESMTP sobre TLS, autenticado).

> On Wed, Mar 7, 2012 at 10:05 AM,<rick at opcaonet.com.br>  wrote:
>
>> Pelo q eu intendi os servidores smtp deve escutar na porta 587 para
>> os clientes daquele servidor se conectarem nela, e a porta 25 ficar
>> para comunicação entre os mx. Assim os ISPs podem bloquear a porta
>> 25 para os clientes (pois deverá ser só utilizado entre os mx's) ,
>> dessa forma previne que por exemplo uma máquina com virus envie
>> spam para os mx.

Isso.  Mas tem o detalhe da autenticação ser obrigatória na porta 587.
Se não fosse, não iria adiantar para grande coisa.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.

More information about the masoch-l mailing list