Port 25 নাকি Port 587? আপনার ইমেল পোর্টের সিদ্ধান্তই নির্ধারণ করে ডেলিভারি ও সিকিউরিটি
Posted inEmail & Privacy

Port 25 নাকি Port 587? আপনার ইমেল পোর্টের সিদ্ধান্তই নির্ধারণ করে ডেলিভারি ও সিকিউরিটি

No Comments

ইমেল সার্ভার সেটআপের সময় Port 25 এবং Port 587-এর মধ্যে পছন্দ অনেকেই একটি রুটিন টেকনিক্যাল ডিসিশন বলে মনে করেন। কিন্তু এই পোর্টের পছন্দই সরাসরি প্রভাব ফেলে আপনার ইমেলটি রিসিপিয়েন্টের ইনবক্সে পৌঁছাবে, নাকি স্পাম ফোল্ডারে হারিয়ে যাবে – তার উপর। শুধু ডেলিভারি নয়, এই পোর্ট নির্বাচনের মধ্যেই লুকিয়ে আছে ক্রেডেনশিয়াল চুরি এবং ডেটা লিকের মতো বড় নিরাপত্তা ঝুঁকি।

মৌলিক পার্থক্য: Port 25 সার্ভার-টু-সার্ভার, Port 587 ক্লায়েন্ট সাবমিশনের জন্য

এই দুটি পোর্টের ডিজাইন এবং উদ্দেশ্যই সম্পূর্ণ আলাদা। Port 25 তৈরি করা হয়েছিল মূলত মেইল সার্ভারগুলোর মধ্যে সরাসরি যোগাযোগ বা “রিলে” করার জন্য। অন্যদিকে, Port 587 তৈরি হয়েছিল ইউজার বা ক্লায়েন্ট অ্যাপ্লিকেশন থেকে মেইল জমা দেওয়ার (“সাবমিশন”) জন্য।

  • Port 25: SMTP রিলে (Mail Transfer Agent – MTA থেকে MTA)। ট্রাডিশনালি আনরেস্ট্রিক্টেড ও ওপেন রাখা হয়।
  • Port 587: মেসেজ সাবমিশন (Mail User Agent – MUA থেকে MSA)। RFC 6409 স্ট্যান্ডার্ড দ্বারা ডিফাইন করা মডার্ন ক্লায়েন্ট সাবমিশন পোর্ট।

এক কথায়, Port 25 হলো মেইল সার্ভারদের নিজেদের “ভাষা”, আর Port 587 হলো সাধারণ ইউজারদের জন্য নিরাপদ “গেটওয়ে”। ক্লায়েন্ট সাবমিশনের জন্য Port 25 ব্যবহার করা মানেই হচ্ছে প্রোটোকলের মূল নকশাকে উপেক্ষা করা।

নিরাপত্তা বিশ্লেষণ: Port 587 কেন Mandatory Authentication এবং Strong TLS চায়

নিরাপত্তার দিক থেকে এই দুটি পোর্টের মধ্যে আকাশ-পাতাল পার্থক্য রয়েছে। Port 25-এ অথেনটিকেশন অপশনাল এবং বিরল, যা একে ওপেন রিলে ও স্পাম অ্যাটাকের জন্য সহজ টার্গেট বানায়।

অথেনটিকেশন: Optional বনাম Mandatory

Port 25-এ ক্লায়েন্ট অথেনটিকেশন সাধারণত অফ করা থাকে। কারণ, এখানে অথেনটিকেশন চালু থাকলে সার্ভারটি দ্রুত একটি ওপেন রিলেতে পরিণত হতে পারে, যে কেউ তা ব্যবহার করে স্পাম পাঠাতে পারে। Port 587 এর ডিজাইনই করা হয়েছে AUTH (SMTP Authentication) এর উপর ভিত্তি করে।

  • Port 587-এ PLAIN, LOGIN, CRAM-MD5, SCRAM বা OAuth2-এর মতো মেকানিজম ব্যবহার করে ইউজার ভেরিফিকেশন বাধ্যতামূলক।
  • এখানে অথেনটিকেশন ছাড়া মেইল সাবমিট করলেই সার্ভার তা রিজেক্ট বা থ্রোটল করবে।

এনক্রিপশন: Opportunistic STARTTLS বনাম Enforced TLS

এনক্রিপশনের বাস্তবায়নও ভিন্ন। Port 25-এ STARTTLS থাকলেও তা অপশনাল এবং “অপর্চুনিস্টিক”। অর্থাৎ, যদি কানেকশনের দুই পাশই TLS সাপোর্ট করে, তাহলে হবে, না হলে প্লেইন টেক্সটেই চলবে। অনেক সার্ভার-টু-সার্ভার ট্রাফিক আজও প্লেইন টেক্সটে যায়, যার মানে আপনার ইমেল কন্টেন্ট যে কেউ দেখতে পারে

Port 587-এ ক্লায়েন্ট সাধারণত অথেনটিকেশনের আগেই TLS (STARTTLS) দাবি করে। অধিকাংশ মেইল প্রোভাইডার Port 587-এ TLS এনফোর্স করে এবং প্লেইন টেক্সট কানেকশন রিজেক্ট করে।

নিরাপত্তার নিরিখে Port 587-ই স্পষ্ট বিজয়ী। এটি ক্রেডেনশিয়াল এবং ডেটা ট্রান্সমিশনকে এনক্রিপ্টেড চ্যানেলে নিয়ে যায়, যখন Port 25 ডিফল্টভাবে একটি অনিরাপদ হাইওয়ে হিসেবে রয়ে গেছে।

ডেলিভারিবিলিটি: কেন ISP-রা Port 25 ব্লক করে এবং Port 587-কে প্রাধান্য দেয়

আপনার ইমেল রিসিপিয়েন্টের ইনবক্সে পৌঁছাবে কিনা, তা অনেকটাই নির্ভর করে আপনি কোন পোর্ট ব্যবহার করছেন তার উপর। Gmail, Outlook, Yahoo-র মতো বড় প্রোভাইডাররা তাদের পলিসিতে স্পষ্টভাবে Port 587 (বা 465) কে প্রেফার করে।

  • ISP ব্লক: প্রায় সব হোম ব্রডব্যান্ড ও কনজিউমার ISP কানেকশনে আউটবাউন্ড Port 25 ব্লক করা থাকে। এর একমাত্র উদ্দেশ্য হলো স্পাম কমানো। Port 587 সাধারণত ওপেন থাকে।
  • রিপুটেশন ম্যানেজমেন্ট: Port 25 দিয়ে সরাসরি মেইল পাঠানো হলে সেই সেন্ডিং IP-এর রিপুটেশন ট্র্যাক করা হয়। স্পাম পাঠানো হলে IPটি দ্রুত ব্লকলিস্টে ভর্তি হয়। Port 587-এ অথেনটিকেটেড ইউজার হিসেবে সেন্ড করলে অ্যাকাউন্টেবিলিটি বেশি, তাই IP রিপুটেশন ঝুঁকি কম।
  • মডার্ন প্রোভাইডার এক্সপেক্টেশন: গুগল, মাইক্রোসফটের মতো প্রোভাইডাররা অথেনটিকেটেড Port 587 সাবমিশন আশা করে। Unauthenticated Port 25 সাবমিশন তারা স্বয়ংক্রিয়ভাবে রিজেক্ট বা হেভি রেট-লিমিট করে।

রিয়েল-ওয়ার্ল্ড ডিপ্লয়মেন্ট: কেস স্টাডি

কনজিউমার ইমেইল ক্লায়েন্ট (Thunderbird, Outlook): Port 587-এর মাধ্যমে কানেক্ট করে, Credentials দিয়ে অথেনটিকেট করে, TLS এনক্রিপশনের অধীনে মেইল পাঠায়। ISP ব্লক এড়ানো যায়।

মেইল সার্ভার টু মেইল সার্ভার: Port 25 ব্যবহার করে। এখানে অথেনটিকেশন নেই; ট্রাস্ট তৈরি হয় SPF, DKIM, DMARC এবং IP রিপুটেশনের ভিত্তিতে। STARTTLS নেগোসিয়েট হতে পারে, কিন্তু অনেক ডিপ্লয়মেন্টে এনফোর্সড নয়।

সার্ভার অ্যাডমিনের জন্য বেস্ট প্র্যাকটিস: 587 এবং 25 কীভাবে কনফিগার করবেন

সঠিক কনফিগারেশন না জানার কারণেই বেশিরভাগ ডেলিভারিবিলিটি এবং সিকিউরিটি ইস্যু তৈরি হয়।

Port 587 কনফিগারেশনের নীতিমালা

  • STARTTLS এনফোর্স করুন: প্লেইন টেক্সট কানেকশন একদম গ্রহণ করবেন না।
  • AUTH before MAIL: MAIL FROM কমান্ড একসেপ্ট করার আগেই ইউজারকে অথেনটিকেট হতে বাধ্য করুন।
  • শক্তিশালী অথেনটিকেশন: PLAIN/LOGIN-এর চেয়ে SCRAM বা OAuth2 ব্যবহার করুন।
  • পার-ইউজার রেট লিমিট: যেকোনো একক ইউজার অ্যাবিউজ করতে না পারে, তার জন্য কোটা নির্ধারণ করুন।

Port 25 কনফিগারেশনের নীতিমালা (যদি ওপেন রাখতেই হয়)

  • ওপেন রিলে ডিসেবল করুন: শুধুমাত্র ট্রাস্টেড IP/নেটওয়ার্ক থেকে রিলে করার অনুমতি দিন।
  • TLS এনফোর্স করার চেষ্টা করুন: সার্ভার-টু-সার্ভার ট্রাফিকও এনক্রিপ্টেড হোক।
  • SPF, DKIM, DMARC ইমপ্লিমেন্ট করুন: আপনার ডোমেন থেকে পাঠানো মেইল যেন অথেন্টিক হিসেবে গ্রহণ করা হয়।
  • RBLs (রিয়েল-টাইম ব্লকলিস্ট) ব্যবহার করুন: পরিচিত স্পাম IP থেকে কানেকশন ব্লক করুন।

কমন মিসকনফিগারেশন: এই ভুলগুলো এড়িয়ে চলুন

এই ভুলগুলো ডেলিভারিবিলিটি ধ্বংস এবং নিরাপত্তা ফাটল তৈরি করে।

  • ❌ ক্লায়েন্ট সাবমিশনের জন্য Port 25 ব্যবহার: রিমোট MTA কর্তৃক রিজেকশন, থ্রটলিং এবং ক্রেডেনশিয়াল রিস্ক তৈরি হয়।
  • ❌ No TLS / Opportunistic Only: Port 25 বা 587-এ প্লেইন টেক্সটে AUTH করা মানেই পাসওয়ার্ড উইরল্ডে ছুঁড়ে দেওয়া।
  • ❌ Port 587-এ অথেনটিকেশন ইগনোর করা: যদি Port 587-এ অথেনটিকেশন চালু না থাকে, তাহলে সেটিও একটি ওপেন রিলে হয়ে যাবে, স্পামারদের জন্য সহজ টার্গেট।

চূড়ান্ত সারসংক্ষেপ: আপনার ইমেল ইনফ্রাস্ট্রাকচারের জন্য Port 25 এবং Port 587-এর সঠিক ব্যবহার অপরিহার্য। মনে রাখবেন, Port 587 হলো আজকের দিনের স্ট্যান্ডার্ড, সুরক্ষিত ক্লায়েন্ট সাবমিশনের গেটওয়ে। অন্যদিকে, Port 25 কে সংরক্ষণ করুন শুধুমাত্র নিখুঁতভাবে কনফিগার্ড, মনিটরড সার্ভার-টু-সার্ভার কমিউনিকেশনের জন্য। সঠিক পোর্টের পছন্দই আপনার ইমেলের গন্তব্য নির্ধারণ করে দেয়।

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply

Your email address will not be published. Required fields are marked *