Puncte:9

Ar trebui să folosesc SSL pentru un server SMTP de recepție?

drapel br

Creez un server smtp care nu va trebui să trimită e-mailuri, ci doar să primească. Nefiind expert, mă întrebam dacă ar trebui să mai folosesc un certificat SSL pentru securitate. De exemplu, dacă trimit un mesaj de e-mail de la clientul meu Outlook sau Gmail (care presupun că va trimite un mesaj deja protejat) către serverul meu smtp fără ssl, este posibil un atac de tip om în mijloc?

Puncte:13
drapel cn

Da. SSL/TLS ar trebui să fie utilizat la primirea e-mailurilor. MITM este posibil, deși solicitarea autentificării DKIM ar trebui să împiedice manipularea mesajului. Un certificat semnat este cea mai bună modalitate de a atenua MITM, iar acestea sunt gratuite cu Let's Encrypt și sunt ușor automatizate dacă utilizați o platformă care îl acceptă.

Hagen von Eitzen avatar
drapel cn
Există mai mult decât să folosești Let's Encrypt și să te gândești că ești bine: https://community.letsencrypt.org/t/lets-encrypt-for-smtp/66171
Paul avatar
drapel cn
Același lucru este valabil și pentru DANE, deoarece necesită lucruri precum un registrator care acceptă DNSSEC și mulți nu o fac sau o fac atât de dificilă încât utilizatorii renunță, în practică, să încerce să-l activeze. DANE necesită un server DNS care acceptă înregistrări TLSA, iar multe, chiar și cele majore, nu. Atunci serverele de trimitere trebuie să respecte DANE. O soluție dificil de implementat ajunge de obicei să fie una nefolosită. De asemenea, comentariul dvs. este dintr-un motiv neexplicat care susține că am făcut o referire la Let's Encrypt *ca* o soluție în loc de ceea ce am afirmat de fapt, care este că face soluția *mai ușor de implementat.
drapel jp
Afirmați că „un certificat semnat este cea mai bună modalitate de a atenua MITM”, ceea ce nu este adevărat cu SMTP, Let's Encrypt sau nu.
Puncte:8
drapel jp

Ceea ce vine cu SMTP, TLS nu este antiglonț pentru a preveni MitM, deoarece compatibilitatea puternică cu înapoi permite certificate autosemnate, versiuni TLS și SSL mai vechi și chiar back-up la conexiuni necriptate. Deoarece o conexiune SMTP la portul 25/tcp începe întotdeauna în text simplu și necesită STARTTLS este ușor pentru un MitM să dezbrace 250-STARTTLS, făcând client cred că serverul nu acceptă TLS. Autentificarea bazată pe DNS a entităților numite (DANE, RFC 6698) abordează această problemă, dar trebuie susținută de ambele părți.

Acestea fiind spuse, TLS este încă util cu SMTP, deoarece neutilizarea lui face MitM atât mai ușor, cât și mai greu de detectat. De exemplu, din precedentul Primit antet, ar trebui să puteți vedea dacă conexiunea a fost criptată sau nu, împreună cu suita de criptare utilizată.

Puncte:1
drapel us

Da, ar trebui, dacă domeniul tău are DNSSEC, probabil că ar trebui să implementezi și DANE,

Puncte:-1
drapel cn

Da.

  1. Nu poate strica.
  2. Let's Encrypt este gratuit și durează minim pentru configurare, mai ales dacă îl utilizați deja.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.