Skip to content
PortsDB

Référence des ports

Port 25 (TCP) – SMTP

Protocole de transfert de courrier entre serveurs, utilisé pour relayer et distribuer les messages entre MTA.

tcpWell-knownSouvent attaqué

État par défaut

Ouvert sur les serveurs de messagerie (MTA) acceptant le courrier entrant ; généralement exposé à Internet pour la distribution.

Attaques courantes

  • Abus de relais ouvert pour le spam et le hameçonnage
  • Usurpation d'expéditeur en l'absence de SPF/DKIM/DMARC
  • Énumération d'utilisateurs/adresses via VRFY, EXPN et sondage RCPT
  • STARTTLS stripping et rétrogradation vers le clair

Durcissement

  • Ne jamais exploiter de relais ouvert ; exiger l'authentification pour la soumission client
  • Utiliser le port 587 (soumission) avec STARTTLS pour les clients authentifiés
  • Publier et imposer SPF, DKIM et DMARC ; activer MTA-STS
  • Désactiver VRFY/EXPN et limiter le débit des connexions

Commande nmap

nmap -p25 --script smtp-commands,smtp-open-relay,smtp-enum-users,banner <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Qu'est-ce qui tourne sur le port 25 ?

Le port 25 est le port par défaut de SMTP (Simple Mail Transfer Protocol), le protocole que les serveurs de messagerie utilisent pour relayer et distribuer le courrier entre eux. Lorsqu'un agent de transfert de courrier (MTA) transmet un message au suivant vers le destinataire, cet échange se déroule sur le port 25. La soumission client authentifiée (votre application qui envoie du courrier sortant) relève du port 587 ou 465, pas du 25.

Pourquoi c'est important pour la sécurité

SMTP a été conçu à une époque de confiance implicite. Sans configuration stricte, un serveur peut agir comme relais ouvert, acceptant et retransmettant le courrier de n'importe qui, devenant ainsi une machine à spam et à hameçonnage. Le protocole rend aussi l'usurpation d'expéditeur triviale tant que SPF, DKIM et DMARC ne sont pas publiés et imposés. STARTTLS sur le port 25 est opportuniste : un attaquant actif peut le supprimer et forcer le retour de la session en clair.

Comment il est attaqué

Les spammeurs sondent les serveurs pour détecter un comportement de relais ouvert afin de blanchir du courrier en masse. Les attaquants usurpent des adresses d'expéditeur contre des domaines dépourvus de SPF/DKIM/DMARC pour alimenter le hameçonnage. La reconnaissance utilise le sondage VRFY, EXPN et RCPT TO pour énumérer les boîtes valides, et le STARTTLS stripping rétrograde les connexions pour lire identifiants et contenus en transit. Les MTA vulnérables sont aussi visés directement pour l'exécution de code à distance.

Liste de durcissement

N'exploitez jamais de relais ouvert : n'acceptez le courrier entrant que pour vos domaines et exigez l'authentification pour toute soumission client, qui doit passer par le port 587 avec STARTTLS (ou 465). Publiez et imposez SPF, DKIM et DMARC, et activez MTA-STS pour que la distribution ne puisse pas être rétrogradée silencieusement. Désactivez VRFY/EXPN, limitez le débit des connexions et maintenez le MTA à jour. La commande nmap ci-dessus liste les commandes prises en charge et teste les faiblesses de relais ouvert et d'énumération d'utilisateurs sur les systèmes que vous êtes autorisé à tester.

Ports liés

Port 587Port 465Port 110Port 143Port 993Port 995

Questions fréquentes

Quelle est la différence entre le port 25 et le port 587 ?
Le port 25 sert au relais de courrier entre serveurs (de MTA à MTA). Le port 587 est le port de soumission authentifiée utilisé par les clients de messagerie pour envoyer le courrier sortant ; il doit exiger une connexion et STARTTLS.
Pourquoi le port 25 est-il souvent bloqué ?
De nombreux FAI et hébergeurs cloud bloquent le port 25 sortant pour limiter le spam issu d'hôtes compromis et de relais ouverts. Les clients légitimes doivent soumettre le courrier sur le port 587.