Điểm:9

Tôi có nên sử dụng SSL cho máy chủ SMTP chỉ nhận không?

lá cờ br

Tôi đang tạo một máy chủ smtp không cần gửi email mà chỉ nhận. Không phải là một chuyên gia, tôi tự hỏi liệu mình có nên sử dụng chứng chỉ SSL để bảo mật hay không. Ví dụ: nếu tôi gửi một tin nhắn e-mail từ ứng dụng khách Outlook hoặc gmail của mình (mà tôi cho rằng sẽ gửi một tin nhắn đã được bảo vệ) đến máy chủ smtp của tôi mà không có ssl, thì liệu một người đàn ông ở giữa có thể tấn công không?

Điểm:13
lá cờ cn

Đúng. SSL/TLS nên được sử dụng khi nhận thư. MITM là có thể, mặc dù việc yêu cầu xác thực DKIM sẽ ngăn việc này thao túng thông báo. Chứng chỉ đã ký là cách tốt nhất để giảm thiểu MITM và chúng miễn phí với Let's Encrypt và dễ dàng tự động hóa nếu bạn đang sử dụng một nền tảng hỗ trợ chứng chỉ đó.

Hagen von Eitzen avatar
lá cờ cn
Điều này còn nhiều điều hơn là chỉ sử dụng Let's Encrypt và nghĩ rằng bạn ổn: https://community.letsencrypt.org/t/lets-encrypt-for-smtp/66171
Paul avatar
lá cờ cn
Điều tương tự cũng xảy ra với DANE, vì nó yêu cầu những thứ như công ty đăng ký tên miền hỗ trợ DNSSEC và nhiều công ty không hỗ trợ hoặc gây khó khăn đến mức người dùng trên thực tế từ bỏ việc cố gắng kích hoạt nó. DANE yêu cầu một máy chủ DNS hỗ trợ các bản ghi TLSA và nhiều máy chủ, thậm chí cả những bản ghi lớn, thì không. Sau đó, các máy chủ gửi phải tôn trọng DANE. Một giải pháp khó thực hiện thường không được sử dụng. Ngoài ra, nhận xét của bạn là vì một số lý do không giải thích được khi tuyên bố rằng tôi đã tham khảo một số giải pháp Let's Encrypt *as* thay vì những gì tôi thực sự đã tuyên bố, đó là nó làm cho giải pháp *dễ dàng hơn* để thực hiện.
lá cờ jp
Bạn tuyên bố rằng "chứng chỉ đã ký là cách tốt nhất để giảm thiểu MITM", điều này không đúng với SMTP, Let's Encrypt hay không.
Điểm:8
lá cờ jp

Điều gì xảy ra với SMTP, TLS không chống lại được MitM, bởi vì khả năng tương thích ngược mạnh mẽ cho phép chứng chỉ tự ký, các phiên bản TLS và SSL cũ hơn và thậm chí dự phòng cho các kết nối không được mã hóa. Vì kết nối SMTP tới cổng 25/tcp luôn bắt đầu bằng văn bản thuần túy và yêu cầu STARTTLS thật dễ dàng để một MitM tước bỏ 250-BẮT ĐẦUTLS, làm cho khách hàng tin rằng máy chủ không hỗ trợ TLS. Xác thực dựa trên DNS của các thực thể được đặt tên (ĐAN, RFC 6698) giải quyết vấn đề này nhưng phải được cả hai bên hỗ trợ.

Điều đó nói rằng, TLS vẫn hữu ích với SMTP, bởi vì không sử dụng nó làm cho MitM dễ dàng hơn và khó bị phát hiện hơn. Ví dụ: từ trước Nhận tiêu đề, bạn sẽ có thể xem liệu kết nối có được mã hóa hay không, cùng với bộ mật mã được sử dụng.

Điểm:1
lá cờ us

Có, bạn nên làm, nếu miền của bạn có DNSSEC, có lẽ bạn cũng nên triển khai DANE,

Điểm:-1
lá cờ cn

Đúng.

  1. Nó không thể làm tổn thương.
  2. Let's Encrypt miễn phí và mất ít thời gian để thiết lập, đặc biệt nếu bạn đã sử dụng nó.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.