在传入的SMTP邮件上要求STARTTLS是否仍然“错误”

15

根据STARTTLS规范第5节:

公开引用的SMTP服务器必须不要求使用
STARTTLS扩展名才能本地传递邮件。此规则
可防止STARTTLS扩展损坏Internet SMTP基础结构的互操作性。公开引用的SMTP服务器是SMTP服务器,该服务器在
Internet邮件地址右侧的MX记录(如果没有MX记录,则为A记录)中列出的Internet主机的端口25上运行。

但是,该规范是在1999年编写的,考虑到它是2014年,我希望大多数SMTP客户端,服务器和中继都可以实现STARTTLS。

如果我要求对传入消息使用STARTTLS,我会损失多少电子邮件?

email  smtp  starttls 
杰克韦迪
source
1
好问题。但是,强制启用TLS并不能阻止SPAM。
马特
1
我没想到会这样,我只想要加密(我似乎是从90%的传入消息中获得加密,而无需加密):)
jackweirdy 2014年
2
@Matt我检查了最近在一台特定邮件服务器上收到的邮件,并发现了这一点。使用TLS接收的邮件中,垃圾邮件占4%,不使用TLS接收的邮件中,垃圾邮件占100%。基于此,我不会完全阻止没有TLS的邮件,但这无疑是一个强烈的信号,可以用于垃圾邮件过滤。
kasperd 2014年
@kasperd-您可以启用TLS或将其用作减少垃圾邮件的方法,但这种方法不会持续。这实际上意味着它们用来将垃圾邮件推送到服务器的smtp客户端未使用TLS,或者默认情况下尝试不使用TLS,但是如果需要,可以尝试启用TLS的会话。充其量,您会看到SPAM的暂时减少,但是随着时间的推移,我希望它会恢复到正常水平。
马特
@Matt适用于当前针对垃圾邮件采取的大多数方法。大多数方法的另一个问题是它们阻止了太多合法电子邮件。人们很少考虑接受多少封合法电子邮件。
kasperd 2014年

Answers:

19

是的,这仍然不是一个好主意。

三个原因:

  1. 虽然您引用的RFC(RFC 2487)实际上已被当前标准RFC 3207淘汰,但当前标准始终禁止您在问题中引用自己的语言。

  2. 不需要SMTP客户端实施STARTTLS。不这样做是完全可以接受的。尽管STARTTLS变得越来越普遍,但它绝对不是通用的。

  3. 由于原因1和2,如果您对所有传入连接都要求使用STARTTLS,则会丢失邮件。

然而:

您的服务器-您的规则。如果您出于任何原因甚至没有理由任意拒绝任何邮件,这就是您的权利和特权。(但这并不意味着它一定是一个好主意)

旁注:

即使需要相互STARTTLS身份验证,也不会通过要求STARTTLS来防止垃圾邮件。垃圾邮件发送者也可以获取证书-或创建自签名证书。拒绝自签名客户端证书也将导致丢失合法邮件。

STARTTLS是点对点加密。连接系统仍可以读取电子邮件的内容。如果您想要真正的隐私,则需要端到端的内容,例如OpenPGP或S / MIME。

也就是说,STARTTLS确实消除了拦截或MITM的一种可能途径,因此,在可行时(即在另一方也支持时)使用它仍然是一个好主意。

乔·斯尼德曼
source
1
关于证书和垃圾邮件的注释不适当。需要证书的是接收者,而不是发送者。
kasperd 2014年
它不会帮助防止垃圾邮件。即使您必须相互强制执行STARTTLS身份验证。将更新答案进行澄清。
乔·斯尼德曼
2
关于垃圾邮件的注释+1。仅仅因为它被加密并不能使其安全。
马特2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.