Большинство серверов SMTP поддерживают SSL? [закрыто]
Я работаю над приложением, которое должно иметь возможность отправлять электронные письма с потенциально конфиденциальной информацией. Мне было интересно, есть ли какие-либо данные о том, какие SMTP-серверы обычно используются в корпоративных настройках (например, что еще есть, кроме Exchange?), И поддерживают ли они SSL-соединения?
Многие SMTP-серверы действительно поддерживают гибкий TLS, но он не сможет полностью удовлетворить ваши потребности.
- Часто бывает с самозаверяющими сертификатами,
- вы столкнетесь с многие домены, в которые вы не можете доставлять почту, если вы не будете разговаривать с ретрансляторами без TLS, и
- вы не можете контролировать, что ретранслятор делает с сообщением, когда вы отправляете его на первом переходе - этот ретранслятор может просто развернитесь и отправьте его в другое место в виде открытого текста.
Вместо этого вы должны искать решение для сквозного шифрования, такое как PGP или S / MIME, или что-то более удобное для пользователя, например портал HTTPS, где они могут читать сообщение (после получения уведомления о сообщении через открытый текстовый протокол SMTP).
Я не возражаю ни с чем, что было сказано до сих пор, но я подумал, что добавлю свою 2p-стоимость и некоторые данные. SSL / TLS, как и все функции безопасности, предназначен для защиты от угроз. Будет ли это хорошая защита, зависит от характера функции и модели угроз.
Если ваша модель угроз включает атаку со стороны администратора сервера, то никакое количество SSL на проводе не спасет вас; требуется сквозное шифрование. Если ваша модель угроз ограничена случайными перехватчиками, тогда неаутентифицированный SSL поможет; но если ваша модель угроз включает слежку со стороны хорошо оснащенных противников, тогда атаки типа «злоумышленник посередине» становятся проблемой, и также потребуется аутентификация.
Если у вас нет модели угроз, никакой защиты поможет. Вам нужно знать, что вы вы пытаетесь защитить себя и от кого, прежде чем вы сможете решить, какая безопасность вам нужна.
Чтобы предложить некоторые данные о повсеместном распространении шифрования, я пошел и посмотрел на довольно характерную неделю на моем почтовом сервере.
Это попытался установить 4411 исходящих соединений за эту неделю. 1392 были для серверов, которые не предлагали шифрование. 3019 были для серверов, которые сделали; из них 838 имели сертификаты, которые невозможно было проверить (либо потому, что они не были подписаны, либо потому, что я не доверяю подписавшему; я подозреваю, что подавляющее большинство - первые). 2121 имел сертификаты, которые регистрировались как проверенные.
Таким образом, 32% серверов не предлагают шифрование, 19% имеют самоподписанный сертификат, а 48% имеют правильно подписанные сертификаты.
Там это исследования различных марок почтовых серверов в Интернете. Этот появился в январе 2012 года и предполагает, что и sendmail, и Exchange становятся одинаково непопулярными. Честно говоря, я не могу решить, смеяться или плакать.
ИМХО, если вы отправляете конфиденциальные данные, вам необходимо сквозное (MUA to MUA) шифрование, например, с использованием GnuPG.
Правильно развернутый SSL // STARTTLS может защитить данные во время передачи SMTP, но он не защищает данные на "промежуточных" серверах.
Вы должны выбрать компромисс между безопасностью и простотой использования / развертывания.
Facebook опубликовал свои выводы об адаптации SMTP STARTTLS 13 мая 2014 г .:
Текущее состояние развертывания SMTP STARTTLS: https://www.facebook.com/notes/protect -the-graph / the-current-state-of-smtp-starttls-deployment / 1453015901605223
Да, большинство современных агентов отправки / передачи почты ( MSA, MTA ) поддерживают зашифрованные соединения через SSL / TLS и STARTTLS, включая Exim, Postfix и Sendmail. Поскольку вы концентрируетесь на отправке, а не на получении, это будет относительно легко настроить - вам не нужно будет получать или генерировать сертификат безопасности. Однако нет гарантии, что MSA получателя будет поддерживать шифрование, и вы можете столкнуться с самозаверяющими сертификатами, которые необходимо будет установить на отправляющем сервере.
Электронная почта обычно не является безопасной платформой обмена сообщениями, и вы можете лучше подойдет другое решение, например, предложенное Шейном Мэдденом.