บรรจวบ เข้าสู่ระบบ
Score:9
Sauron avatar Server

ฉันควรใช้ SSL สำหรับเซิร์ฟเวอร์ SMTP ที่รับอย่างเดียวหรือไม่

ธง br
Sauron

ฉันกำลังสร้างเซิร์ฟเวอร์ smtp ซึ่งไม่จำเป็นต้องส่งอีเมล แต่รับเท่านั้น ไม่ใช่ผู้เชี่ยวชาญ ฉันสงสัยว่าฉันควรใช้ใบรับรอง SSL เพื่อความปลอดภัยหรือไม่ ตัวอย่างเช่น หากฉันส่งข้อความอีเมลจากไคลเอนต์ Outlook หรือ Gmail ของฉัน (ซึ่งฉันคิดว่าจะส่งข้อความที่มีการป้องกันอยู่แล้ว) ไปยังเซิร์ฟเวอร์ smtp ของฉันโดยไม่มี ssl เป็นไปได้ไหมว่าจะมีการโจมตีจากคนกลาง

1588
4 + 0
Score:13
Paul avatar Server
ธง cn
Paul

ใช่. ควรใช้ SSL/TLS ในการรับจดหมาย MITM เป็นไปได้ แม้ว่าการกำหนดให้ใช้การตรวจสอบสิทธิ์ DKIM ควรป้องกันการดำเนินการนี้จากการจัดการข้อความ ใบรับรองที่ลงนามแล้วคือวิธีที่ดีที่สุดในการลด MITM และใบรับรองเหล่านี้ฟรีด้วย Let's Encrypt และระบบอัตโนมัติอย่างง่ายดายหากคุณใช้แพลตฟอร์มที่รองรับ

0 + 3
Hagen von Eitzen avatar
cn flag
Hagen von Eitzen
มีอะไรมากกว่านั้นเพียงแค่ใช้ Let's Encrypt และคิดว่าคุณสบายดี: https://community.letsencrypt.org/t/lets-encrypt-for-smtp/66171
3
ตอบกลับ
Paul avatar
cn flag
Paul
เช่นเดียวกันสำหรับ DANE เนื่องจากต้องมีสิ่งต่างๆ เช่น ผู้รับจดทะเบียนที่รองรับ DNSSEC และหลายๆ คนไม่ทำหรือทำให้มันยากเสียจนผู้ใช้ในทางปฏิบัติล้มเลิกความพยายามในการเปิดใช้งาน DANE ต้องการเซิร์ฟเวอร์ DNS ที่รองรับระเบียน TLSA และหลายๆ เซิร์ฟเวอร์ แม้แต่เซิร์ฟเวอร์หลักก็ไม่ต้องการ จากนั้นเซิร์ฟเวอร์ที่ส่งจะต้องเคารพ DANE โซลูชันที่ใช้งานยากมักกลายเป็นโซลูชันที่ไม่ได้ใช้งาน นอกจากนี้ ความคิดเห็นของคุณมีเหตุผลบางอย่างที่อธิบายไม่ได้โดยอ้างว่าฉันได้อ้างอิงถึง Let's Encrypt *as* ซึ่งเป็นโซลูชันแทนที่จะเป็นสิ่งที่ฉันระบุไว้จริง ๆ ซึ่งก็คือทำให้โซลูชัน *ง่ายขึ้น* ในการดำเนินการ
0
ตอบกลับ
jp flag
Esa Jokinen
คุณระบุว่า "ใบรับรองที่ลงนามเป็นวิธีที่ดีที่สุดในการลด MITM" ซึ่งไม่เป็นความจริงกับ SMTP Let's Encrypt หรือไม่
0
ตอบกลับ
Score:8
avatar Server
ธง jp
Esa Jokinen

สิ่งที่มาพร้อมกับ SMTP ทำให้ TLS ไม่สามารถกันกระสุนเพื่อป้องกัน MitM ได้ เนื่องจากความเข้ากันได้แบบย้อนหลังที่แข็งแกร่งช่วยให้ใบรับรองที่ลงนามด้วยตนเอง รุ่น TLS และ SSL ที่เก่ากว่า และแม้แต่ทางเลือกสำรองไปยังการเชื่อมต่อที่ไม่ได้เข้ารหัส เนื่องจากการเชื่อมต่อ SMTP กับพอร์ต 25/tcp จะเริ่มต้นเป็นข้อความธรรมดาเสมอและจำเป็นต้องใช้ STARTTLS เป็นเรื่องง่ายสำหรับ MitM ในการถอด 250-STARTTLS,ทำให้ ลูกค้า เชื่อว่าเซิร์ฟเวอร์ไม่รองรับ TLS การรับรองความถูกต้องตาม DNS ของเอนทิตีที่มีชื่อ (เดน อาร์เอฟซี 6698) แก้ไขปัญหานี้ แต่ต้องได้รับการสนับสนุนจากทั้งสองฝ่าย

ที่กล่าวว่า TLS ยังคงมีประโยชน์กับ SMTP เนื่องจากการไม่ใช้จะทำให้ MitM ตรวจจับได้ง่ายและยากขึ้น เช่น จากก่อนหน้านี้ ได้รับ ส่วนหัว คุณควรจะสามารถดูว่าการเชื่อมต่อนั้นได้รับการเข้ารหัสหรือไม่ พร้อมกับชุดการเข้ารหัสที่ใช้

0 + 0
Score:1
avatar Server
ธง us
Jasen

ใช่ คุณควร ถ้าโดเมนของคุณมี DNSSEC คุณควรปรับใช้ DANE ด้วย

0 + 0
Score:-1
avatar Server
ธง cn
Shadur

ใช่.

  1. มันไม่สามารถทำร้าย
  2. Let's Encrypt นั้นฟรีและใช้เวลาในการตั้งค่าน้อยที่สุด โดยเฉพาะอย่างยิ่งหากคุณใช้งานอยู่แล้ว
0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา