Ssl
我應該將 SSL 用於僅接收 SMTP 伺服器嗎?
我正在創建一個不需要發送電子郵件而只接收的 smtp 伺服器。我不是專家,我想知道是否還應該使用 SSL 證書來保證安全。例如,如果我從 Outlook 或 gmail 客戶端(我假設它會發送已受保護的郵件)向我的 smtp 伺服器發送一封沒有 ssl 的電子郵件,那麼中間人攻擊是否可能?
是的。接收郵件時應使用 SSL/TLS。MITM 是可能的,但要求 DKIM 身份驗證應該可以防止它操縱消息。簽名證書是緩解 MITM 的最佳方式,如果您使用支持它的平台,它們可以通過 Let’s Encrypt 免費獲得,並且可以輕鬆實現自動化。
就 SMTP 而言,TLS 並不是防止 MitM 的萬全之策,因為強大的向後兼容性允許自簽名證書、舊 TLS 和 SSL 版本,甚至回退到未加密的連接。因為到埠 25/tcp 的 SMTP 連接總是以純文字開始,並且要求
STARTTLS
中間人很容易剝離 .250-STARTTLS
,從而使客戶端認為伺服器不支持 TLS。基於 DNS 的命名實體身份驗證(DANE,RFC 6698)解決了這個問題,但必須得到雙方的支持。也就是說,TLS 對 SMTP 仍然有用,因為不使用它會使 MitM 更容易檢測,也更難檢測。例如,從前面的
Received
標頭中,您應該能夠看到連接是否已加密,以及使用的密碼套件。