ยังคง“ ผิด” หรือไม่ที่ต้องใช้ STARTTLS กับข้อความ SMTP ขาเข้า

15

ตามข้อมูลจำเพาะ STARTTLSหมวดที่ 5:

เซิร์ฟเวอร์ SMTP ที่อ้างอิงสู่สาธารณะต้องไม่ใช้
ส่วนขยายของSTARTTLS เพื่อส่งจดหมายในพื้นที่ กฎนี้
ป้องกันส่วนขยาย STARTTLS จากการทำลายการทำงานร่วมกันของโครงสร้างพื้นฐาน SMTP ของอินเทอร์เน็ต เซิร์ฟเวอร์ SMTP ที่อ้างอิงแบบสาธารณะคือเซิร์ฟเวอร์ SMTP ซึ่งทำงานบนพอร์ต 25 ของโฮสต์อินเทอร์เน็ตที่ระบุในระเบียน MX (หรือระเบียน A หากไม่มีระเบียน MX อยู่) สำหรับ
ชื่อโดเมนทางด้านขวามือของที่อยู่อีเมลอินเทอร์เน็ต .

อย่างไรก็ตามข้อมูลจำเพาะนี้เขียนขึ้นในปี 1999 และเมื่อพิจารณาเป็นปี 2014 ฉันคาดหวังว่าไคลเอนต์ SMTP เซิร์ฟเวอร์และรีเลย์ส่วนใหญ่จะมีการใช้งาน STARTTLS บางประเภท

ฉันสามารถคาดหวังว่าจะสูญเสียอีเมลได้เท่าใดหากฉันต้องการ STARTTLS สำหรับข้อความเข้ามา

email  smtp  starttls 
jackweirdy
แหล่งที่มา
1
คำถามที่ดี. การบังคับให้ TLS บังคับจะไม่ขัดขวาง SPAM
แมตต์
1
ฉันไม่ได้คาดหวังว่ามันผมเพียงต้องการการเข้ารหัส (ซึ่งผมดูเหมือนจะได้รับจาก 90% ของข้อความที่เข้ามาโดยไม่ต้องมีมันจำเป็น) :)
jackweirdy
2
@Matt ฉันตรวจสอบเมื่อเร็ว ๆ นี้ได้รับอีเมลบนเซิร์ฟเวอร์อีเมลหนึ่งและพบสิ่งนี้ จากอีเมลที่ได้รับด้วย TLS มีสแปม 4% อีเมลที่ได้รับโดยไม่มี TLS มีสแปม 100% ฉันจะไม่ปิดกั้นอีเมลอย่างสมบูรณ์หากไม่มี TLS จากสิ่งนี้ แต่เป็นสัญญาณที่ชัดเจนซึ่งสามารถนำไปใช้ในการกรองจดหมายขยะได้
kasperd
@kasperd - คุณสามารถเปิด TLS หรือใช้เป็นวิธีการลดสแปม แต่จะไม่นาน ทั้งหมดหมายความว่าจริงๆแล้วไคลเอ็นต์ smtp ที่ใช้เพื่อส่งสแปมไปยังเซิร์ฟเวอร์ของคุณไม่ได้ใช้ TLS หรืออาจพยายามไม่ใช้ TLS เป็นค่าเริ่มต้น แต่อาจลองใช้เซสชันที่เปิดใช้งาน TLS หากจำเป็น ที่ดีที่สุดคุณจะเห็นการลดลงชั่วคราวในสแปม แต่ฉันคาดว่ามันจะกลับมาสู่ระดับปกติเมื่อเวลาผ่านไป
แมตต์
@ แมทที่ใช้กับวิธีการส่วนใหญ่ในปัจจุบันกับสแปม ปัญหาอีกประการหนึ่งของวิธีการส่วนใหญ่คือบล็อกอีเมลที่ถูกกฎหมายมากเกินไป ผู้คนมักพิจารณาว่าอีเมลที่ถูกกฎหมายเป็นที่ยอมรับในการบล็อก
kasperd

คำตอบ:

19

ใช่มันเป็นความคิดที่ไม่ดี

สามเหตุผล:

  1. ในขณะที่ RFC ที่คุณอ้างถึง ( RFC 2487 ) ในความเป็นจริงนั้นล้าสมัยแล้วโดยRFC 3207มาตรฐานปัจจุบันมาตรฐานปัจจุบันทำให้ไม่ต้องใช้คำฟุ่มเฟือยในคำถามของคุณ

  2. ลูกค้า SMTP ไม่จำเป็นต้องใช้ STARTTLS เป็นที่ยอมรับกันโดยสิ้นเชิงที่จะไม่ทำเช่นนั้น แม้ว่า STARTTLS จะกลายเป็นเรื่องธรรมดาไปแล้ว แต่ก็ไม่เป็นสากล

  3. เนื่องจากเหตุผลที่ 1 และ 2 หากคุณต้องการ STARTTLS ในการเชื่อมต่อขาเข้าทั้งหมดคุณจะสูญเสียเมล

อย่างไรก็ตาม:

เซิร์ฟเวอร์ของคุณ - กฎของคุณ หากคุณต้องการปฏิเสธจดหมายใด ๆ ไม่ว่าด้วยเหตุผลใดก็ตามหรือแม้แต่ไม่มีเหตุผล - นั่นคือสิทธิและเอกสิทธิ์ (ไม่ได้หมายความว่าจำเป็นต้องมีความคิดที่ดี)

หมายเหตุด้านข้าง:

คุณจะไม่ป้องกันสแปมโดยกำหนดให้ STARTTLS แม้ว่าคุณจะต้องมีการตรวจสอบสิทธิ์ STARTTLS ร่วม ผู้ส่งอีเมลขยะสามารถรับใบรับรองด้วย - หรือสร้างใบรับรองที่ลงชื่อด้วยตนเอง การปฏิเสธไคลเอนต์ที่ลงชื่อด้วยตนเองจะส่งผลให้สูญเสียเมลที่ถูกต้อง

STARTTLS เป็นการเข้ารหัสแบบจุดต่อจุด ระบบเชื่อมต่อยังคงสามารถอ่านเนื้อหาของอีเมลได้ หากคุณต้องการความเป็นส่วนตัวที่แท้จริงคุณต้องมีบางสิ่งบางอย่างตั้งแต่ต้นจนจบเช่น OpenPGP หรือ S / MIME

ที่กล่าวไว้ว่า STARTTLS จะลบถนนที่เป็นไปได้สำหรับการสกัดกั้นหรือ MITM ดังนั้นจึงควรใช้เมื่อเป็นไปได้เช่นเมื่ออีกด้านหนึ่งรองรับเช่นกัน

Joe Sniderman
แหล่งที่มา
1
หมายเหตุเกี่ยวกับใบรับรองและจดหมายขยะไม่ถูกต้อง เป็นผู้รับที่ต้องการใบรับรองไม่ใช่ผู้ส่ง
kasperd
มันจะไม่ช่วยป้องกันสแปม แม้ว่าคุณจะบังคับให้STARTTLS รับรองความถูกต้องซึ่งกันและกัน จะอัปเดตคำตอบเพื่อชี้แจง
Joe Sniderman
2
+1 เมื่อทราบเกี่ยวกับสแปม เพียงเพราะมันเข้ารหัสมันไม่ปลอดภัย
แมตต์
10

Google เก็บสถิติแบบเปิดในเปอร์เซ็นต์ของอีเมลที่เข้ารหัสทั้งขาเข้าและขาออก ข้อมูลนี้ควรมีประโยชน์อย่างยิ่งสำหรับคุณในการพิจารณาว่านี่คุ้มค่าหรือไม่:

http://www.google.com/transparencyreport/saferemail/

แมตต์จ่า
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.