Можно ли иметь сервер электронной почты, который одновременно является совместимым и безопасным?

Вы можете настроить свой сервер так, чтобы он принимал исходящую электронную почту от ваших пользователей на другом порту (587) и разрешал только TLS там. На стандартном порту 25 не допускайте входа пользователей в систему, чтобы кто-нибудь случайно не использовал его и не посылал свой пароль в чистом виде.

Насколько я понимаю, это не нарушает RFC, так как он говорит о том, как другие серверы общаются с вашим сервером для доставки электронной почты вашим пользователям. Что касается ваших пользователей, вы не связаны никакими RFC и можете внедрять любую политику, которую захотите, например, внедрение TLS, так как она поддерживается на всех основных клиентах

Для обеспечения наилучшей совместимости вы должны разрешить незашифрованные соединения для общей почты, так как некоторые клиенты не поддерживают STARTTLS.

Для почтового клиента пользователя (куда отправляется пароль) вы должны требовать наилучшего шифрования.

Если я нарушу это правило и разрешу только зашифрованные почтовые соединения (т.е. на портах 454, 993 и 995, но не на других), смогут ли другие почтовые службы в целом отправить на мой сервер?

Нет, не смогут. Доставка почты между почтовыми серверами осуществляется путем поиска почтового сервера, отвечающего за домен получателя, с помощью DNS поиска записи MX. Эта запись содержит имя хоста, после чего с этим хостом свяжутся по 25-му порту. Нет способа каким-то образом настроить другой порт, т.е. если на 25-м порту нет сервера, то доставка будет неудачной

Есть две вещи, которые нужно различать:

• MTA (Mail Transport Agent), который передает электронную почту от отправителя к получателю, обычно используя TCP порты 25, 465 и 587
• MDA (Mail Delivery Agent), который позволяет пользователям загружать/синхронизировать их электронную почту, обычно используя TCP порты 110 и 995 для POP3(S) и 143 и 993 для IMAP(S)

RFC говорит о SMTP-сервере с публичными ссылками, что означает MTA.

MTA обычно прослушивает 3 различных TCP-порта для SMTP(S):

• 25: простой SMTP, который может поддерживать STARTTLS, и это ТОЛЬКО порт, используемый для доставки сообщений с MTA на другой MTA
• 465: SMTP over TLS, используемый пользователями для отправки своих сообщений
• 587: простой SMTP, который может поддерживать STARTTLS, который может использоваться пользователями для отправки своих сообщений

Для STARTTLS, если взять пример Postfix, то вы можете иметь 3 различные конфигурации:

• none: сервер не будет использовать STARTTLS
• may: сервер будет предлагать и использовать оппортунистическое шифрование (STARTTLS), если оно доступно
• encrypt: сервер обрывает соединение, если STARTTLS не может быть использован

теперь реальная проблема: в настоящее время слишком много MTA плохо сконфигурировано и не поддерживает STARTTLS, это означает, что требование этого на вашем сервере может привести к тому, что часть ваших сообщений электронной почты не будет доставлена, или ваш сервер не сможет получать сообщения от отправителей, использующих MTA, не поддерживающее STARTTLS.

Чтобы ускорить этот процесс, компания Google в своем отчете прозрачности отображает процент зашифрованных сообщений электронной почты во время транспортировки. Они даже пошли дальше , теперь отображая красный висячий замок, когда они не были зашифрованы.

Однако, слишком много серверов все еще не поддерживают STARTTLS, а это означает, что вы можете столкнуться со слишком большим количеством проблем, требуя его на 25 порту. Как следствие, я могу предложить вам следующую конфигурацию:

• SMTP порт 25: "может", как в качестве клиента, так и в качестве сервера
• SMTPS порт 465: откройте его для ваших пользователей
• SMTP порт 587: на самом деле не нужен
• POP3 порт 110: на самом деле не нужен
• POP3S порт 995: откройте его для ваших пользователей
• IMAP порт 143: на самом деле не нужен
• IMAPS порт 993: откройте его для ваших пользователей