我應該將 SSL 用於僅接收 SMTP 伺服器嗎？

我正在創建一個不需要發送電子郵件而只接收的 smtp 伺服器。我不是專家，我想知道是否還應該使用 SSL 證書來保證安全。例如，如果我從 Outlook 或 gmail 客戶端（我假設它會發送已受保護的郵件）向我的 smtp 伺服器發送一封沒有 ssl 的電子郵件，那麼中間人攻擊是否可能？

是的。接收郵件時應使用 SSL/TLS。MITM 是可能的，但要求 DKIM 身份驗證應該可以防止它操縱消息。簽名證書是緩解 MITM 的最佳方式，如果您使用支持它的平台，它們可以通過 Let’s Encrypt 免費獲得，並且可以輕鬆實現自動化。

就 SMTP 而言，TLS 並不是防止 MitM 的萬全之策，因為強大的向後兼容性允許自簽名證書、舊 TLS 和 SSL 版本，甚至回退到未加密的連接。因為到埠 25/tcp 的 SMTP 連接總是以純文字開始，並且要求STARTTLS中間人很容易剝離 . 250-STARTTLS，從而使客戶端認為伺服器不支持 TLS。基於 DNS 的命名實體身份驗證（DANE，RFC 6698）解決了這個問題，但必須得到雙方的支持。

也就是說，TLS 對 SMTP 仍然有用，因為不使用它會使 MitM 更容易檢測，也更難檢測。例如，從前面的Received標頭中，您應該能夠看到連接是否已加密，以及使用的密碼套件。

引用自：https://serverfault.com/questions/1068091