Nuestra reciente exploración de PCI falló porque "la autenticación de texto sin formato se permite a través de un canal sin cifrar en SMTP". Como tal, nuestro soporte técnico sugirió cerrar el puerto 587.
¿Cuáles son los efectos de cerrar el puerto 587 y afectará negativamente el envío / recepción de correos electrónicos?
TL; DR : si sus usuarios utilizan 587 para enviar un correo electrónico para retransmisión, debe protegerlo (solicitando STARTTLS antes de AUTH) o deshabilitarlo en favor de una alternativa como 465 (SMTPS ). Por supuesto, si ninguno de sus usuarios está utilizando 587, puede desactivarlo sin preocuparse, ya que todo el correo normal fluye a través del puerto 25.
Hay tres puertos comúnmente utilizados para el correo electrónico SMTP: 25, 465 y 587.
25 es el puerto SMTP estándar que utilizan los agentes de transferencia de correo en todas partes. Si eso desaparece, dejará de recibir correos electrónicos del resto del mundo.
465 ("SMTPS" o "SSMTP", donde la "S" adicional significa "Seguridad") y 587 ("envío") son puertos alternativos que hablan SMTP, diseñados para ser utilizados por un grupo más limitado de su cuenta usuarios de confianza. Para citar RFC 4409 :
This separation of function offers a number of benefits, including
the ability to apply specific security or policy requirements.
Por lo tanto, históricamente, estos puertos se usaron para cosas como permitir que los Agentes de Usuarios de Correo envíen correos para retransmisión, donde el puerto SMTP principal no proporciona servicios de retransmisión. (De hecho, se introdujeron 465 y 587 como una forma de restaurar la funcionalidad una vez que se cerró el "relé abierto" en el puerto 25, que en sí era una medida de seguridad). Usualmente, se usa alguna otra forma de control (ACL de red o SMTP AUTH) con 465/587 para garantizar que solo se aceptan envíos legítimos para su transmisión.
465 (SMTPS) está, como HTTPS, envuelto en SSL / TLS en la capa de red. 587 no requiere cifrado según el RFC, pero en la práctica común, hoy en día muchas configuraciones requerirán STARTTLS (activando SSL / TLS durante la transacción SMTP) antes de que incluso se anuncie SMTP AUTH. Eso aborda específicamente la preocupación de que su exploración de PCI está aumentando.
Si su puerto 587 (envío) es así, puede solicitar una excepción a la exploración de PCI. Puede comprobarlo haciendo una conexión de red al puerto 587 e ingresando el comando "Nombre de host EHLO". Si la respuesta que recibe, como esta, incluye STARTTLS pero no AUTH, entonces no es vulnerable a lo que el análisis de PCI pensó que era:
EHLO hostname
250-submission.server Hello hostname [192.168.3.4], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE 16777216
250-DSN
250-STARTTLS
250-DELIVERBY
250 HELP
Si ofrece AUTH mientras no está encriptado, necesitarás STARTTLS antes de AUTH o deshabilitar 587 y usar algo como 465 sobre SSL / TLS en su lugar.
Si no tiene agentes de usuario de correo que pertenezcan a su dominio y envíen el correo a través de la red para su retransmisión, no necesita 587 o 465 en cualquier caso.
587 se utiliza para enviar correos electrónicos de manera segura (a diferencia de 25).
Si cierra ese puerto, existe una alta probabilidad de que ninguna de sus cuentas de correo electrónico pueda enviar correos electrónicos más.
En todo caso, uno debe cerrar el puerto 25 y usar 587 en las configuraciones del servidor y del cliente.
Lea otras preguntas en las etiquetas authentication email ports smtp known-plaintext-attack