Для отправки почты почтовому клиенту следует использовать проверку портов 587 с STARTTLS или порт 465 с неявным TLS — это порты submission. Порт 25 предназначен для связи между серверами и у провайдеров часто закрыт. Для приёма писем применяют IMAP (993 с SSL или 143) и POP3 (995 с SSL или 110).
В этом материале разберём назначение каждого почтового порта, отличие STARTTLS от неявного TLS, почему хостинги и провайдеры блокируют порт 25, какой порт указывать в настройках почтового клиента и как проверить, открыт ли нужный порт на сервере.
Что такое почтовые порты и зачем они нужны
Почтовый порт — это номер, по которому почтовый клиент или сервер устанавливает TCP-соединение с другим сервером для передачи писем. Каждому этапу доставки — отправке между серверами, отправке письма от клиента (submission) и получению почты — соответствуют свои стандартные порты, закреплённые за протоколами SMTP, POP3 и IMAP.
Правильно выбранный порт определяет не только работоспособность почты, но и её безопасность: от того, шифруется ли соединение и на каком этапе устанавливается TLS, зависит защита логина, пароля и содержимого писем от перехвата.
Порты SMTP: 25, 587, 465
SMTP (Simple Mail Transfer Protocol) отвечает за отправку почты. У него три исторически сложившихся порта, и путаница между ними — одна из самых частых причин, почему письма не уходят.
Порт 25 — обмен между серверами (MTA-to-MTA)
Порт 25 — это оригинальный порт SMTP, предназначенный для передачи писем между почтовыми серверами (MTA). Когда сервер отправителя доставляет письмо серверу получателя, он подключается именно к порту 25 адресата. Использовать его для отправки писем из почтового клиента не рекомендуется, а зачастую и невозможно.
Порт 587 — submission со STARTTLS (рекомендуемый для клиента)
Порт 587 определён в RFC 6409 как порт message submission — именно через него почтовый клиент отправляет письмо на сервер провайдера. Соединение начинается в открытом виде и повышается до шифрованного командой STARTTLS. Требует аутентификации (SMTP AUTH). Это рекомендуемый порт для настройки исходящей почты в большинстве современных клиентов.
Порт 465 — SMTPS с неявным TLS
Порт 465 использует неявный (implicit) TLS: шифрование устанавливается сразу при подключении, до любых SMTP-команд. Долгое время он считался устаревшим, но RFC 8314 (2018) реабилитировал его и рекомендует implicit TLS для submission. Сегодня 465 и 587 — оба валидные варианты; выбор зависит от поддержки провайдером.
Порты приёма: POP3 и IMAP
Для получения почты используют два протокола. POP3 скачивает письма на устройство и обычно удаляет их с сервера, а IMAP синхронизирует состояние ящика между всеми устройствами, оставляя письма на сервере.
POP3 — порты 110 и 995
Порт 110 — это POP3 без шифрования (или со STARTTLS). Порт 995 — POP3 поверх неявного TLS (POP3S), безопасный вариант. Для любого современного ящика следует использовать 995.
IMAP — порты 143 и 993
Порт 143 — IMAP без шифрования (или со STARTTLS). Порт 993 — IMAP поверх неявного TLS (IMAPS). Порт 993 предпочтителен, так как обеспечивает шифрование с первой секунды соединения и рекомендован RFC 8314.
Таблица почтовых портов
| Порт | Протокол | Шифрование | Назначение |
|---|---|---|---|
| 25 | SMTP | Обычно нет (или STARTTLS) | Передача писем между серверами (MTA-to-MTA) |
| 587 | SMTP (submission) | STARTTLS | Отправка письма клиентом на сервер (рекомендуется) |
| 465 | SMTPS | Неявный TLS | Отправка письма клиентом (implicit TLS) |
| 110 | POP3 | Нет (или STARTTLS) | Приём почты со скачиванием на устройство |
| 995 | POP3S | Неявный TLS | Безопасный приём POP3 |
| 143 | IMAP | Нет (или STARTTLS) | Приём почты с синхронизацией на сервере |
| 993 | IMAPS | Неявный TLS | Безопасный приём IMAP |
STARTTLS против неявного TLS
Разница между двумя моделями шифрования принципиальна. При STARTTLS (порты 587, 143, 110) соединение открывается в незашифрованном виде, а затем клиент командой STARTTLS переводит его в TLS. При неявном TLS (порты 465, 993, 995) шифрование включается сразу при установке TCP-соединения.
Неявный TLS считается более надёжным против атак понижения (downgrade), когда злоумышленник вырезает команду STARTTLS и вынуждает соединение остаться открытым. Именно поэтому RFC 8314 рекомендует для новых конфигураций отдавать предпочтение implicit TLS: 465 для отправки, 993 для IMAP, 995 для POP3.
Ключевое правило: STARTTLS без принудительной проверки может быть отключён атакующим. Если провайдер поддерживает implicit TLS (465/993/995), выбирайте его.
Почему порт 25 закрыт у провайдеров и хостингов
Многие интернет-провайдеры и облачные хостинги блокируют исходящие соединения на порт 25. Причина историческая: заражённые компьютеры массово рассылали спам напрямую через порт 25, минуя контроль. Блокировка порта 25 на клиентских сетях резко снизила объём спама.
Практические следствия:
- Домашний интернет обычно не позволяет подключаться к внешнему порту 25 — отправляйте почту через 587 или 465 своего провайдера.
- Облачные провайдеры (AWS, Google Cloud, многие VPS-хостинги) закрывают порт 25 по умолчанию и открывают его только по запросу с обоснованием.
- Если вы поднимаете собственный почтовый сервер, порт 25 нужен для приёма входящей почты от других серверов — его блокировка на приём отличается от блокировки на отправку.
Если письма не уходят и в логах видно таймаут на порту 25 — почти наверняка провайдер блокирует исходящие соединения. Переключитесь на submission-порт.
Какой порт выбрать в почтовом клиенте
Для настройки почтового клиента (Outlook, Thunderbird, Apple Mail, мобильные приложения) придерживайтесь простой схемы:
- Исходящая почта (SMTP): порт 587 с STARTTLS или порт 465 с SSL/TLS. Обязательно включите аутентификацию по логину и паролю.
- Входящая почта, IMAP: порт 993 с SSL/TLS (предпочтительно). Порт 143 — только если 993 недоступен.
- Входящая почта, POP3: порт 995 с SSL/TLS. Порт 110 — только как запасной вариант.
Точные значения всегда уточняйте в документации почтового провайдера — некоторые сервисы поддерживают только один из submission-портов. Никогда не используйте порт 25 в настройках клиента.
Как проверить, открыт ли порт
Прежде чем разбираться с настройками клиента, полезно убедиться, что нужный порт вообще доступен и на нём действительно слушает почтовый сервер с корректным TLS.
Проверить TLS-рукопожатие на submission-порту (STARTTLS):
openssl s_client -connect smtp.example.com:587 -starttls smtpПроверить неявный TLS на порту 465 или IMAPS 993:
openssl s_client -connect smtp.example.com:465
openssl s_client -connect imap.example.com:993Быстро проверить, открыт ли TCP-порт, без установки TLS:
# через telnet
telnet smtp.example.com 587
# или через netcat (тише и удобнее для скриптов)
nc -vz smtp.example.com 587Если соединение зависает или отвечает таймаутом, порт закрыт файрволом или провайдером. Если openssl показывает цепочку сертификатов и строку с версией TLS — сервер настроен корректно.
Не хочется работать в командной строке? Воспользуйтесь нашим инструментом проверки открытости портов — укажите хост и номер порта, и он покажет доступность за пару секунд, в том числе с разных регионов.
Связанные материалы
Настройка почты не ограничивается портами. Чтобы письма доходили и не попадали в спам, важно правильно сконфигурировать DNS Lookup и мониторить сервер:
- MX-записи: настройка почты для домена — куда направлять входящую почту.
- SPF, DKIM и DMARC: полное руководство — аутентификация писем против подделки.
- Мониторинг почтового сервера — как отслеживать доступность и очереди.
Частые вопросы
Какой порт использовать для отправки почты — 587 или 465?
Оба порта корректны и безопасны. Порт 587 работает через STARTTLS и определён стандартом submission (RFC 6409). Порт 465 использует неявный TLS и рекомендован RFC 8314 как более устойчивый к атакам понижения. Если провайдер поддерживает 465 — выбирайте его; если нет — используйте 587.
Почему не отправляются письма через порт 25?
Большинство интернет-провайдеров и облачных хостингов блокируют исходящие соединения на порт 25 для борьбы со спамом. Порт 25 предназначен для передачи почты между серверами, а не для отправки из клиента. Для отправки писем используйте submission-порт 587 или 465 с аутентификацией.
В чём разница между POP3 и IMAP?
POP3 (порты 110/995) скачивает письма на одно устройство и обычно удаляет их с сервера — подходит для единственного компьютера. IMAP (порты 143/993) хранит письма на сервере и синхронизирует состояние между всеми устройствами. Для работы с почтой на нескольких устройствах выбирайте IMAP.
Что безопаснее — STARTTLS или SSL/TLS?
Неявный TLS (SSL/TLS на портах 465, 993, 995) устойчивее, потому что шифрование включается сразу при подключении. STARTTLS открывает соединение в незашифрованном виде, и атакующий теоретически может вырезать команду перехода на TLS. При наличии выбора предпочитайте неявный TLS.
Как узнать, какие порты открыты на моём почтовом сервере?
Используйте команду nc -vz host порт или telnet host порт для проверки доступности TCP-порта, а openssl s_client — для проверки TLS. Либо воспользуйтесь онлайн-инструментом проверки портов на enterno.io, указав хост и номера портов 25, 465, 587, 993, 995.
Нужно ли открывать порт 25 на своём сервере?
Да, если ваш сервер принимает входящую почту от других серверов — они подключаются именно к порту 25 вашего MTA. Блокировка порта 25 на приём сделает домен недоступным для получения писем. Блокировка на отправку (у провайдера) — отдельный вопрос и касается только исходящих соединений клиентов.