[MASOCH-L] [GTER] Bloqueio Porta 25

[Rafael Cresci]

Eu tenho preferido simplificar a questão ao lidar com o usuário: faço ele usar a 465 com o SSL mesmo. Nada de trocar porta pra 587 para submissão. Ela está disponível, mas é mais fácil mandar o cara usar tudo com SSL que os MUAs já mudam a porta para 465 sem precisar o sujeito ir lá e clicar em vários campos. Em alguns casos, o suporte disso é sacal, tem usuário que consegue extrapolar o limite da "inutilidade" (burrice é pouco).

On 07/03/2012, at 10:44, Henrique de Moraes Holschuh wrote:

> On 07-03-2012 10:13, Danilo Marques de Gouveia wrote:
>> Eu tinha entendido que o meu MX iria escutar a porta 587 para
>> receber E-mails.
> 
> Seu MX vai usar a porta 25.  Mas você vai bloquear nas firewalls para
> que a porta 25 possa apenas ser utilizada pelo seu MX.
> 
> O que acontece é que é criado uma nova função no sistema de email, o MSA
> (mail submissio agent), *que pode ficar no MX*.
> 
> Usuários só enviam email atráves de SMTP AUTENTICADO, porta 587, para o
> MSA (que como eu disse, pode ser o seu MX).  O MSA envia via porta 25
> mesmo para o MX, ou se for o próprio MX, para o resto do mundo.
> 
> Mas usuários precisam ser bloqueados para não mais falar via porta 25
> com ninguém.  Aqui permitimos que falem via SMTP autenticado com o MSA
> também na porta 25, mas não conseguem falar via porta 25 com mais
> ninguém, e todo mundo é avisado para usar a porta 587.
> 
> Porta 587 deve ser liberada na firewall, se for o caso, para que
> clientes externos possam enviar email através de você e para que
> clientes internos possam enviar email via outros provedores de email.
> 
>> Então na verdade meu cliente sai pela porta 587 se conecta ao meu MX
>> e o meu MX se conecta através da porta 25 com o Hotmail (por exemplo)
>> é isso?
> 
> Sim.
> 
>> Ou eu devo colocar que o meu MX vai sair pela porta 587 para se
>> conectar a outro domínio ?
> 
> Não, porta 587 é só para SMTP AUTENTICADO (é *obrigatório*), e só para
> os MUAs (programas de email dos usuários) enviarem email para o MSA.
> 
> A nomeclatura ficou assim:
> 
> MUA :  programa de email do usuário
> 
> MSA :  o MUA conecta com o MSA para *enviar* email, porta 587,
>       sempre autenticado.  O MSA então encaminha a email para um
>       MTA via porta 25.
> 
> MTA :  servidor que encaminha emails, só fala com outros MTAs, MX
>       e MSA.  Nunca fala com usuário final.  Usa a porta 25.
> 
> MX  :  MTA, em uma função que fala com MTAs externos (pode ser
>       MX de entrada ou de saída).  Na verdade, era para ser só
>       o MTA de entrada que está declarado no DNS, mas o termo meio
>       que virou sinônimo de MTA de borda.
> 
> MDA :  último MTA na cadeia de transmissão, armazena a mensagem na
>       caixa de mensagens do usuário.
> 
> Lembrar que isso é só o nome de chapéu, sites pequenos tem as funções de
> MSA, MTA e MX, e às vezes até MDA na mesma máquina, rodando tudo na
> mesma instância do exim/postfix/etc.
> 
> O protocolo falado na porta 587 é o ESMTPA (ESMTP autenticado) ou de
> preferência o ESMTPSA (ESMTP sobre TLS, autenticado).
> 
>> On Wed, Mar 7, 2012 at 10:05 AM,<rick at opcaonet.com.br>  wrote:
>> 
>>> Pelo q eu intendi os servidores smtp deve escutar na porta 587 para
>>> os clientes daquele servidor se conectarem nela, e a porta 25 ficar
>>> para comunicação entre os mx. Assim os ISPs podem bloquear a porta
>>> 25 para os clientes (pois deverá ser só utilizado entre os mx's) ,
>>> dessa forma previne que por exemplo uma máquina com virus envie
>>> spam para os mx.
> 
> Isso.  Mas tem o detalhe da autenticação ser obrigatória na porta 587.
> Se não fosse, não iria adiantar para grande coisa.
> 
> -- 
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
> 
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l