TCP Опасный Почта

Порт 25 (SMTP)

Узнайте о порте 25 (SMTP) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 25.

Краткая информация

Номер порта

Протокол

TCP

Сервис

SMTP

Имя IANA

SMTP

Описание сервиса

Порт 25 TCP является стандартным портом для протокола SMTP (Simple Mail Transfer Protocol). SMTP используется для отправки электронной почты между почтовыми серверами. Изначально, он использовался как для передачи сообщений между серверами, так и для отправки сообщений клиентами на серверы. Однако, в целях безопасности и предотвращения злоупотреблений, современные почтовые системы часто используют порт 587 (Submission) для отправки сообщений клиентами и порт 465 (SMTPS) или 587 (Submission) с TLS для безопасной отправки. Порт 25 в основном предназначен для передачи сообщений между почтовыми серверами (Mail Transfer Agents - MTA). Протокол SMTP работает путем установления TCP соединения между клиентом (отправляющим сервером) и сервером (принимающим сервером). Клиент отправляет серию команд, таких как HELO/EHLO (представляется серверу), MAIL FROM (указывает отправителя), RCPT TO (указывает получателя) и DATA (содержит текст сообщения). Сервер отвечает на каждую команду кодами, указывающими на успех или неудачу. После отправки данных, соединение закрывается.

На техническом уровне, SMTP опирается на текстовые команды и ответы, что делает его относительно простым для понимания и отладки. Однако, эта простота также создает возможности для злоупотреблений. Современные реализации SMTP часто поддерживают расширения протокола (ESMTP), которые добавляют функциональность, такую как аутентификация (AUTH) и шифрование (STARTTLS). При передаче сообщения, сервер может использовать DNS записи (MX записи) для определения почтового сервера, ответственного за домен получателя. Если сервер не может доставить сообщение, он обычно отправляет сообщение о недоставке (bounce message) отправителю.

## Рекомендации по настройке файрвола

Рекомендуется блокировать входящие соединения на порт 25 TCP с IP-адресов, которые не являются доверенными почтовыми серверами. Исходящие соединения на порт 25 должны быть разрешены только для почтовых серверов, которые должны отправлять почту напрямую другим серверам. Для клиентов, отправляющих почту, следует использовать порты 587 (Submission) или 465 (SMTPS) с соответствующей аутентификацией и шифрованием. Необходимо убедиться, что почтовый сервер настроен так, чтобы требовать аутентификацию для отправки сообщений, чтобы предотвратить использование его в качестве открытого релея. Регулярно обновляйте программное обеспечение почтового сервера, чтобы исправить известные уязвимости и применять патчи безопасности. Используйте фильтры спама и антивирусное программное обеспечение для защиты от вредоносных сообщений.

Информация о безопасности

Порт 25 TCP является частой целью злоумышленников из-за его повсеместного использования для отправки электронной почты. Открытый порт 25 может быть использован для рассылки спама, фишинга и распространения вредоносного ПО. Особенно уязвимы системы, которые не требуют аутентификации для отправки сообщений через порт 25. Злоумышленники могут использовать открытые релеи (open relays) для отправки большого количества нежелательных сообщений, маскируя свой реальный источник. Кроме того, уязвимости в программном обеспечении, реализующем SMTP, могут позволить злоумышленникам получить контроль над почтовым сервером или скомпрометировать конфиденциальные данные, такие как учетные данные пользователей. Недостаточная фильтрация входящих сообщений также может привести к атакам типа "mail bombing" или к переполнению почтового ящика.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2023-51765	Exim SMTPd TLS Improper Certificate Validation Vulnerability	High	A vulnerability exists in Exim's SMTPd where it may not properly validate TLS certificates, potentially allowing man-in-the-middle attacks.
CVE-2023-42115	Citrix ShareFile Storage Zones Controller - Remote Code Execution	Critical	This vulnerability allows remote attackers to execute arbitrary code on affected installations of Citrix ShareFile Storage Zones Controller. Authentication is not required to exploit this vulnerability.
CVE-2020-14386	Postfix before 3.5.6 has a local root privilege escalation vulnerability	High	Postfix before 3.5.6 has a local root privilege escalation vulnerability because of incorrect handling of setgid programs that are executed with the owner's permissions. This is related to the postdrop program.