Vraag
Reacties
Oplossing
Aankondigingen
W.F.
Level 2

Blijft poort 465, Message Submission, RFC 8314, "bruikbaar" (toegankelijk) na 30 mei 2023?

L.S.,

 

In feite is de vraag gericht aan Ziggo, maar Ziggo is ONbereikbaar!

 

Al sinds jaren maak ik gebruik van poort 465 voor Message Submission, in plaats van poort 587; poort 465 maakt vanaf het begin van de conversatie gebruik van een beveiligde verbinding (TLS) - in tegenstelling tot poort 587. Poort 465 is in RFC 8314 vastgelegd als "de poort voor Message Submission" (de intentie is dat poort 587 op termijn uitgefaseerd wordt als de "poort voor Message Submission").

 

Vanwege "30 mei" spreekt Ziggo uitsluitend over "poort 587".

 

Mijn vraag: blijft poort 465 toegankelijk voor Message Submission, zoals vastgelegd in bovengenoemde RFC ???

 

Gr. Willem

Oplossing

Geaccepteerde oplossingen
Danitsja
Community Moderator
Community Moderator

Dit is een beetje abracadabra voor mij @W.F., maar ik heb de vraag bij de techneuten neergelegd en hun gaven aan: Poort 465: Deze poort is geschikt voor een beveiligde SSL verbinding en daarom ook versleuteld. Het wordt aangeraden om deze poort te gebruiken. Deze poort blijft beschikbaar. 

Weet je hiermee voldoende? 

Bekijk in context

19 Reacties 19
Meldingen
Aan Uit
Random
Level 16

Ooit was de bedoeling dat poort 465 voor SMTPS zou worden ingezet.

Deze poort heeft ondertussen een andere functie gekregen en je moet nu port 587 gebruiken zoals in de Ziggo email instellingen vermeld staat.

 

https://kinsta.com/blog/smtp-port/

Guido64_2-1685196669820.png

 

 

0 Kudos
W.F.
Level 2
Topicstarter

@Random: wat je schrijft is mij bekend: de laatste "S" in SMTPS stond voor "Secure" (maar het gebruik van een andere poort voor SMTP was volgens de RFC voor SMTP zelfs niet mogelijk); vandaar dat de reservering van poort 465 later verviel ... Maar anderen lazen "Message Submission" in de "S"; vandaar dat bij Ziggo (en bij andere providers!) Message Submission via poort 465 mogelijk is (er is sprake van een "de facto standaard").

 

(Je kunt dat allemaal natrekken in RFC 8314)

 

Het is is zelfs zo dat RFC 8314 (uit 2018!) poort 465 vastlegt als de poort voor Message Submission (en ja, poort 587 blijft (voorlopig) ook die service verlenen; maar hier is sprake van "STARTTLS" - zie RFC 6409 uit 2011).

 

Maar mijn vraag is in feite gericht aan ZIGGO!

 

    Blijft de functie van poort 465 (zoals die nu al is - een "de facto standaard"!) gehandhaafd bij Ziggo?

 

Gr. Willem

0 Kudos
Random
Level 16

Een Ziggo medewerker zal hier binnen nu en paar dagen voorbij komen En een antwoord proberen te geven op je vraag.

 

Misschien dat @tobiastheebe  er meer over kan zeggen die kan ook een Ziggo medewerker inseinen.

 

tobiastheebe
Level 20
T.E.A.M.

Implicit TLS for SMTP Submission

 

Note that there is no significant difference between the security
properties of STARTTLS on port 587 and Implicit TLS on port 465 if
the implementations are correct and if both the client and the server
are configured to require successful negotiation of TLS prior to
Message Submission.
0 Kudos
W.F.
Level 2
Topicstarter

@tobiastheebe: zie RFC 6409: STARTTLS is a "MAY", not a "MUST".

 

Zie ook: https://nostarttls.secvuln.info/

 

( Why TLS is better without STARTTLS; A Security Analysis of STARTTLS in the Email Context )

 

Btw, niemand wordt door mij gedwongen om poort 465 te gebruiken (i.p.v. poort 587). Alles wat ik van ZIGGO wens te vernemen, is of de huidige service via poort 465 gehandhaafd blijft (ik voel er niets voor om een "trip" naar mijn broertje te maken om de zaak aan te passen als dat niet nodig is ... afgezien van het feit dat "poort 465" in beginsel veiliger is (in theorie) dan "poort 587").

 

Kortom, ik wacht op een antwoord van ZIGGO.

 

Gr. Willem

0 Kudos
tobiastheebe
Level 20
T.E.A.M.

Ik ben het met je eens dat impliciet TLS voor het gehele proces uit veiligheidsoogpunt beter is dan STARTTLS. Een moderator kan hopelijk meer duidelijk geven over het al of niet beschikbaar blijven van poort 465.

0 Kudos
Richard G.
Level 16

Ik ben er ook wel benieuwd naar. En leuk dat impliciet TLS beter is dan STARTTLS maar STARTTLS wordt door sommige programma's ook verplicht gebruikt op poort 587, bijvoorbeeld Thunderbird.
Zie daar maar eens TLS aan te zetten op poort 587, die verandert ie vrolijk automatisch weer terug naar STARTTLS, maar dat terzijde.

Verbaast mij echter wel een beetje van TB.

Poort 465 wordt vaker als oudere poort gezien, maar staat inderdaad nog altijd in de moderne RFC's genoemd als officiële SSL poort. Jah... ssl is ook verouderd, toch maakt Gmail er bijv. ook nog gebruik van.

Ik ben dus ook wel best benieuwd wat Ziggo met die poort 465 gaat doen. Oudere programma's zoals Outlook 2007 (en zelfs 2003 dacht ik) kunnen op deze manier nog mail versturen.
Als 465 dicht gaat is er kans dat er nog wel wat vragen komen of mensen moeten gaan upgraden. 🙂

0 Kudos
W.F.
Level 2
Topicstarter

Sorry, @Richard G. , maar wat je schrijft, noopt mij tot correctie. Vergeet de "oude reservering" van poort 465 (Secure transfer between MTA's); die reservering is vervallen.

Neem de RFC's als uitgangspunt. Gebruik het Internet slechts ter orientatie (het Internet staat helaas bol van de onjuistheden - als gevolg van onkunde, en verouderde kennis van zaken).

Stap vervolgens naar de documentatie van de relevante software (en bestudeer daar in hoeverre deze aan de standaarden (RFC's) voldoet).

Het gedrag van TB, waar je naar verwijst, verbaast mij niet. Message Submission via port 587 vereist authenticatie aan de kant van de client; versleuteling van de conversatie is een optie.

Als je SSL (TLS) eist, SSL is a.h.w. de verouderde term voor TLS, dan verval je naar port 465, zogezegd de "nieuwe reservering" van poort 465 (in feite een reeds wijdverbreid gebruik van port 465).

Samenvattend, poort 465 is niet de "oudere poort" zoals je schrijft, en RFC 8314 (je spreekt over "moderne" RFC's) heeft het over TLS, niet over SSL (vereenvoudigd, om reden van bondigheid).

Vooralsnog ga ik er vanuit dat Exim wordt ingezet door Ziggo (als MTA, maar ook als MSA en MDA), maar of Ziggo het gebruik van poort 465 in stand wil houden, hangt of van de wens van Ziggo (configuratie).

Gr. Willem

0 Kudos
Richard G.
Level 16

@W.F.Gezien jouw reactie moet ik helaas ook corrigeren. Want je schrijft iets aan de hand van een verkeerde interpratie of conclusie a.d.h.v. mijn antwoord.

Ik heb nergens gesproken over beveiligd verkeer tussen MTA's en ik nam ook de RFC's als uitgangspunt.
Met die oude reservering doelde ik op de reservering als SMTP poort voor SSL oftewel het smtps.

En als je naar RFC8314 kijkt is dat nog steeds van toepassing, ondanks het feit dat IANA er iets anders aan heeft toegekend.

Ik heb ook niet gezegd dat poort 465 een oudere poort was maar dat ie zo gezien werd en dat is ook correct. Ergens ook vreemd, want poort 465 en 587 zijn beiden van hetzelfde jaar (1991), alleen stond 587 toen wel meteen in de RFC's en bij 465 kwam dat pas later.

Maar er is wel over meer RFC's verwarring geweest in het verleden, en zelfs nu nog.

 

Dan terug naar standaarden en onze mening daarover. Net als jij, vind ik dat men zich aan RFC's dient te houden. Echter.... die dienen ook geupdate te worden.

Jij vind het niet vreemd dat Thunderbird zich strict aan de RFC's houdt en dus gewoonweg niet toe staat dat er TLS over poort 587 gebruikt wordt.

In feite correct. Waarom verbaast mij dit dan? Omdat vrijwel overal ter wereld TLS over poort 587 hoofdzakelijk gebruikt wordt en ik dan van mening ben dat de gebruiker dit zelf moet kunnen instellen, evt. via een vinkje zetten van "ik neem het risico".

 

Dat wijdverbreid verbruik van poort 465 waar jij het over hebt is niet van toepassing. Het zit nog altijd in MTA's en officieel is het er nog omdat het zo hoort, maar wordt nog weinig gebruikt voor het doel waar het voor gebruikt zou moeten worden.

 

Dan nog even over vasthouden aan RFC's. Soms is dat gewoon ondoenbaar. RFC's worden soms ook gewoon te weinig geupdate. 2018 is relatief kort geleden, maar soms zijn ze te gek.

Mag ik je herinneren aan eind vorig jaar, eind oktober begin november toen Exim met zijn update naar versie 4.95 kwam. Toen bleek Exim het opeens nodig te vinden een bug te fixen die al vele jaren lang aanwezig was.

Oftewel Exim ging zich sinds 4.95 opeens houden aan RFC 2822/ RFC 5322 met als gevolg vele klachten, want opeens werden mails geblokkeerd omdat de limiet van 998 tekens in een mail overschreden werd.

 

En dat dus, terwijl grote jongens als Microsoft met hun Exchange, al lang ook van die RFC afgestapt waren en veel meer tekens toestonden, net als Gmail dus.

Wereldwijd werden die RFC's met voeten getreden. De Exim update die plotseling weer zorgde voor het confirmeren aan die RFC's zorgde voor problemen met als gevolg wereldwijde custom aanpassing in Exim zodat men weer gewoon met meer tekens dan 998 kon werken zoals voorheen.

Resultaat: iedereen gebruikt een andere hoeveelheid, Microsoft geloof ik 10000 tekens en Gmail weer anders en Exim in Directadmin weer een andere hoeveelheid.

Die RFC is nog altijd niet aangepast.

 

Wat ik daarmee wil zeggen is dat RFC's niet altijd heilig zijn, dus ook Exim niet en misschien wordt het eens hoog tijd om die poorten eens opnieuw te bekijken en die RFC aan te passen gezien iedereen ook TLS over poort 587 begint te gebruiken.
Als jij zegt dat het van de wens van Ziggo af hangt om poort 465 wel of niet te behouden, zeg je dus feitelijk dat een isp naar gelang zijn wens van de RFC's kan afwijken. Lijkt me ook geen goede zaak.

 

Je hebt wel gelijk dat ik het over SSL en TLS had, maar dat deed ik om het verschil beter aan te duiden tussen poort 465 en 587 bij oudere mail clients die geen TLS hebben (en dus ssl moeten kiezen op poort 465). Om het eenvoudig te houden dus.

Maar officieel heet dat op poort 465 nu ook TLS, dat klopt.

0 Kudos
Richard G.
Level 16

Kleine aanvulling. Zojuist probeerde ik weer TLS op poort 587 en nu werd het niet automatisch veranderd naar starttls, dus geen idee waarom ie dat voorheen wel deed.

0 Kudos
Hoot_Posthorn
Level 7

Port 465 werd traditioneel geassocieerd met een beveiligde variant van SMTP (Simple Mail Transfer Protocol) genaamd SMTPS (SMTP over SSL/TLS). SMTPS maakt gebruik van een versleutelde SSL/TLS-verbinding om e-mailberichten veilig te verzenden van een e-mailclient naar een e-mailserver.

Het gebruik van port 465 voor SMTPS is echter afgeraden. Volgens de officiële specificaties en aanbevelingen wordt nu poort 465 niet langer aanbevolen voor gebruik met SMTPS. In plaats daarvan wordt het aanbevolen om poort 587 te gebruiken met de STARTTLS-opdracht om een beveiligde verbinding tot stand te brengen tijdens de SMTP-communicatie.

 

is niet aangeraakt bij de wijziging op de 30st en bij mijn weten staat 'ie ook niet op de rol. Wat niet is kan nog komen, dus als je in de gelegenheid bent om naar  587 start-tls om te zwaaien is het verstandig om hier de voorbereidingen voor te nemen.  Dit werkt nu al, en daarmee ben je voorbereid op de toekomst.

0 Kudos
Hoot_Posthorn
Level 7

 

Legacy kit en software is een blijvend ding. Er zijn nu eenmaal klanten die niet anders kunnen.

Zij het kosten, of kunde. Ze zijn er, en het zijn er veel. Die moeten ondersteund worden. ACM ziet ook daar op toe.

Tegelijkertijd moet de dienstbeheerder bij blijven in de ontwikkelingen in het vakgebied en het product moet daarin meebewegen. En dat alles afgezet tegen een redelijke profit/loss verhouding.

 

Onbuigzaam in de leer staan en alleen het beste willen afdwingen is economisch en vanuit de toezichthouder niet haalbaar, noch betaalbaar.

 

Blijft voor de kundige gebruiker de mogelijkheid over om te verkennen tot hoever de dienst meebeweegt met de ontwikkeling en daarmee aan de gang te gaan. Dan word je niet verrast door het plotse afschakelen van een versleten functie.

 

En als laatste, een RFC is geen wet, maar een guideline. Je moet er je best voor doen om in de buurt te komen, maar je mag er van afwijken.

 

My 2 cents..

Groet van Hoot

0 Kudos
Richard G.
Level 16

ACM heeft niets met poort 465 te maken. Ik vind je verhaal deze keer wel een beetje warrig.

 

En nee, RFC's zijn geen wetten, maar ook niet alleen guidelines maar ook procedures, dat zijn afspraken waar men zich aan dient te houden anders wordt het een puinhoop. Het is niet de bedoeling er van af te wijken en normaliter (op enkele uitzonderingen na) gebeurt dit ook niet.

Daarom is er ook sprake van "required" en "recommended" oftewel, vereist en aanbevolen.

Als iedereen er zomaar van gaat afwijken wordt het een puinhoop.

 

En SSL op poort 465 is zeker geen versleten functie, daar zit je echt mis.

Ik zou toch de RFC's er nog eens op nalezen als ik jou was. Anders was die poort al lang verdwenen maar iedereen ondersteund hem nog.

 

0 Kudos
Hoot_Posthorn
Level 7

Na verzenden zag ik dat er een heel stuk van de tekst aan de bovenkant was weggevallen. Naja.. Lange dag geweest.


ACM heeft vanuit de telecomwet wel iets te zeggen over security in elektronische diensten. En via openbare overleg organen met ACM en dienst leveranciers gaat het er wel degelijk over. Internet.nl is zo'n vehikel.

Als je naar internet.nl gaat en je test je @Ziggo.nl mail adres, krijg je een waardering over hoe je dit het best kunt leveren. Rooie kruizen zijn geen tik op de vingers van de toezichthouder, maar wel een naming en shaming situatie voor de leverancier. Dus op die manier totdat het geduld op is, daarna volgt vast een gesprek.

RFC 2119 ken ik. Dat zou afdwingen waar de limieten qua interpretatie liggen van een RFC. Maar dan nog, is bijvoorbeeld RFC 3261 (SIP) met opzet geschreven met een boel manoeuvreerruimte. En de schrijvers van die RFC zijn niet begonnen met "we hebben een leuk idee, kijk maar hoe je het interpreteert" en toch zit er ruimte in om te schuiven.

 

En warrig: Guilty as charged. Ik verwar port 465 met SMTPS. SMTPS heeft volgens mij niet eens een RFC.

465 SSL/TLS is bij lange na niet obsolete al wordt 587 STARTTLS als meer toekomstvast gezien. Maar dat zal ook best wel eens punt van discussie kunnen zijn 'out there'.  Vind ik niet zo boeiend, ik hoor wel van de klap

 

Het is een lange dag geweest... Tot morgen !

 

0 Kudos
Richard G.
Level 16

ACM en telecomwet heeft misschien wel iets te zeggen maar ACM is een lokale partij, die gaat echt niet bepalen wat er internationaal door de groten wordt afgesproken in RFC's en hoe wereldwijd de MTA's met elkaar gaan communiceren en clients.
Als die zich echt met veiligheid zouden bemoeien, hadden ze al lang eens gezegd dat men hier TLS 1.0 moest uitzetten, dat gaan die echt niet doen. Duitsland is heel wat strenger op communicatiegebied.

 

Internet.nl zijn maar testen die aangeven hoe het beter kan, dat zegt verder niet veel over het poortgebruik. En ik ben het niet met je eens over naming en shaming van de leverancier. Op mijn domeinnaam geeft hij bijv. het volgende aan:
Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6)

Mailserver-verbinding niet of onvoldoende beveiligd (STARTTLS en DANE)

 

IPV6 is nog bij lange na geen tekortkoming, zeker niet als je al lang een server draait, dus dat is geen issue.

Nou... je kunt op 1 hand tellen wie er momenteel DANE beveiliging gebruikt van alle hosting providers denk ik zo, bitter weinig sowieso.

Dan v.w.b. STARTTLS, die melding klopt niet eens want STARTTLS is gewoon aanwezig. Dat geeft de test ook aan. Waarom dan die melding?

Het blijkt dat er gevallen wordt over "Tenminste één van je mailservers dwingt niet zijn eigen cipher-voorkeur af ('I'). "

Ja doei... bij Ziggo zijn die gedwongen ciphers onvoldoende en bij alle Directadmin servers heb je die gedwongen volgorde niet of het moet custom aangepast zijn.
Bij Cpanel hetzelfde niet, oftewel, de meesten gaan daar nooit 100% halen.

Temeer bijv. daar die cipher volgorde test niet eens afdoende test. Als je server alleen goede ciphers ondersteund kan ie de mist in gaan, staat er ook bij.

 

Dus het is een mooi stukje informatie, maar je moet de resultaten niet overschatten om de leverancier dan een slechte naam te geven want dat gaat veel te ver.

Dat kun je doen, maar dan slechts bij een beperkt aantal resultaten van die test als die een kruisje geven.

 

Ik heb het overigens met name ook over RFC 3814 die over poort 465 gaat. SMTPS had vroeger geen RFC maar daar is vroeger ooit iets eenmalig voor afgewongen, heeft voor genoeg verwarring gezorgd in elk geval, en nog steeds.

Niet alle RFC's worden strikt toegepast, daar zijn we het zeker over eens. Recent is met Exim 4.95 nog een RFC 2822/ RFC 5322 met voeten getreden omdat Exim die toen opeens toepaste (waren ze eerder vergeten) en het bol stond van de klachten. Logisch ook.


Wat mij betreft mogen ze een RFC wijzigen zodat er alleen nog maar op 587 gecommuniceerd gaat worden. Ik heb nooit de noodzaak begrepen om die twee poorten aan te blijven houden zo lang.

Doe jij ook iets aan hosting of zo, dat jij je met die RFC's en die procedures bezig houdt?

Maar was een lange dag inderdaad, no problem.

Tot morgen!

0 Kudos
Danitsja
Community Moderator
Community Moderator

Dit is een beetje abracadabra voor mij @W.F., maar ik heb de vraag bij de techneuten neergelegd en hun gaven aan: Poort 465: Deze poort is geschikt voor een beveiligde SSL verbinding en daarom ook versleuteld. Het wordt aangeraden om deze poort te gebruiken. Deze poort blijft beschikbaar. 

Weet je hiermee voldoende? 

Richard G.
Level 16

Top! Dank je wel @Danitsja dat was inderdaad de vraag, ook van @W.F. dus dat is goed om te weten.

Hij staat niet in de handleidingen, maar blijft dus wel in gebruik en wordt zelfs aangeraden om te gebruiken.

Dan kan die door de helpers ook geadviseerd blijven worden voor oude Outlook versies totdat men gaat upgraden.

 

Bedankt!

0 Kudos
W.F.
Level 2
Topicstarter

@Danitsja

 

Hartelijk dank dat je de moeite hebt genomen om mijn vraag neer te leggen bij de techneuten, een vraag VAN een techneut VOOR techneuten 🙂

 

Je beantwoordt inderdaad mijn vraag: "(Message) submission port 465" blijft gehandhaafd (hoera, dat bespaart mij, als oudere, een lange busrit naar mijn broertje - in feite degene die klant is bij Ziggo).

 

Jouw antwoord zal ik als oplossing markeren (als ik daartoe in staat ben)

 

Gr. Henri (mijn broertje heet Willem)

0 Kudos