Score:9

ฉันควรใช้ SSL สำหรับเซิร์ฟเวอร์ SMTP ที่รับอย่างเดียวหรือไม่

ธง br

ฉันกำลังสร้างเซิร์ฟเวอร์ smtp ซึ่งไม่จำเป็นต้องส่งอีเมล แต่รับเท่านั้น ไม่ใช่ผู้เชี่ยวชาญ ฉันสงสัยว่าฉันควรใช้ใบรับรอง SSL เพื่อความปลอดภัยหรือไม่ ตัวอย่างเช่น หากฉันส่งข้อความอีเมลจากไคลเอนต์ Outlook หรือ Gmail ของฉัน (ซึ่งฉันคิดว่าจะส่งข้อความที่มีการป้องกันอยู่แล้ว) ไปยังเซิร์ฟเวอร์ smtp ของฉันโดยไม่มี ssl เป็นไปได้ไหมว่าจะมีการโจมตีจากคนกลาง

Score:13
ธง cn

ใช่. ควรใช้ SSL/TLS ในการรับจดหมาย MITM เป็นไปได้ แม้ว่าการกำหนดให้ใช้การตรวจสอบสิทธิ์ DKIM ควรป้องกันการดำเนินการนี้จากการจัดการข้อความ ใบรับรองที่ลงนามแล้วคือวิธีที่ดีที่สุดในการลด MITM และใบรับรองเหล่านี้ฟรีด้วย Let's Encrypt และระบบอัตโนมัติอย่างง่ายดายหากคุณใช้แพลตฟอร์มที่รองรับ

Hagen von Eitzen avatar
cn flag
มีอะไรมากกว่านั้นเพียงแค่ใช้ Let's Encrypt และคิดว่าคุณสบายดี: https://community.letsencrypt.org/t/lets-encrypt-for-smtp/66171
Paul avatar
cn flag
เช่นเดียวกันสำหรับ DANE เนื่องจากต้องมีสิ่งต่างๆ เช่น ผู้รับจดทะเบียนที่รองรับ DNSSEC และหลายๆ คนไม่ทำหรือทำให้มันยากเสียจนผู้ใช้ในทางปฏิบัติล้มเลิกความพยายามในการเปิดใช้งาน DANE ต้องการเซิร์ฟเวอร์ DNS ที่รองรับระเบียน TLSA และหลายๆ เซิร์ฟเวอร์ แม้แต่เซิร์ฟเวอร์หลักก็ไม่ต้องการ จากนั้นเซิร์ฟเวอร์ที่ส่งจะต้องเคารพ DANE โซลูชันที่ใช้งานยากมักกลายเป็นโซลูชันที่ไม่ได้ใช้งาน นอกจากนี้ ความคิดเห็นของคุณมีเหตุผลบางอย่างที่อธิบายไม่ได้โดยอ้างว่าฉันได้อ้างอิงถึง Let's Encrypt *as* ซึ่งเป็นโซลูชันแทนที่จะเป็นสิ่งที่ฉันระบุไว้จริง ๆ ซึ่งก็คือทำให้โซลูชัน *ง่ายขึ้น* ในการดำเนินการ
jp flag
คุณระบุว่า "ใบรับรองที่ลงนามเป็นวิธีที่ดีที่สุดในการลด MITM" ซึ่งไม่เป็นความจริงกับ SMTP Let's Encrypt หรือไม่
Score:8
ธง jp

สิ่งที่มาพร้อมกับ SMTP ทำให้ TLS ไม่สามารถกันกระสุนเพื่อป้องกัน MitM ได้ เนื่องจากความเข้ากันได้แบบย้อนหลังที่แข็งแกร่งช่วยให้ใบรับรองที่ลงนามด้วยตนเอง รุ่น TLS และ SSL ที่เก่ากว่า และแม้แต่ทางเลือกสำรองไปยังการเชื่อมต่อที่ไม่ได้เข้ารหัส เนื่องจากการเชื่อมต่อ SMTP กับพอร์ต 25/tcp จะเริ่มต้นเป็นข้อความธรรมดาเสมอและจำเป็นต้องใช้ STARTTLS เป็นเรื่องง่ายสำหรับ MitM ในการถอด 250-STARTTLS,ทำให้ ลูกค้า เชื่อว่าเซิร์ฟเวอร์ไม่รองรับ TLS การรับรองความถูกต้องตาม DNS ของเอนทิตีที่มีชื่อ (เดน อาร์เอฟซี 6698) แก้ไขปัญหานี้ แต่ต้องได้รับการสนับสนุนจากทั้งสองฝ่าย

ที่กล่าวว่า TLS ยังคงมีประโยชน์กับ SMTP เนื่องจากการไม่ใช้จะทำให้ MitM ตรวจจับได้ง่ายและยากขึ้น เช่น จากก่อนหน้านี้ ได้รับ ส่วนหัว คุณควรจะสามารถดูว่าการเชื่อมต่อนั้นได้รับการเข้ารหัสหรือไม่ พร้อมกับชุดการเข้ารหัสที่ใช้

Score:1
ธง us

ใช่ คุณควร ถ้าโดเมนของคุณมี DNSSEC คุณควรปรับใช้ DANE ด้วย

Score:-1
ธง cn

ใช่.

  1. มันไม่สามารถทำร้าย
  2. Let's Encrypt นั้นฟรีและใช้เวลาในการตั้งค่าน้อยที่สุด โดยเฉพาะอย่างยิ่งหากคุณใช้งานอยู่แล้ว

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา