По-прежнему "неправильно" требовать STARTTLS для входящих SMTP-сообщений

Question

По-прежнему "неправильно" требовать STARTTLS для входящих SMTP-сообщений

Согласно разделу 5 спецификации STARTTLS:

Общедоступный SMTP-сервер НЕ ДОЛЖЕН требовать использования
Расширение STARTTLS для локальной доставки почты. Это правило
предотвращает повреждение расширения STARTTLS функциональной совместимостью инфраструктуры SMTP в Интернете. SMTP-сервер, на который имеются публичные ссылки, - это SMTP-сервер, который работает на порту 25 хоста Интернета, указанного в записи MX (или записи A, если запись MX отсутствует) для
доменное имя справа от адреса электронной почты в Интернете.

Однако эта спецификация была написана в 1999 году, и, учитывая, что это 2014 год, я ожидаю, что большинство SMTP-клиентов, серверов и ретрансляторов будут иметь какую-то реализацию STARTTLS.

Сколько электронной почты я могу потерять, если мне потребуется STARTTLS для входящих сообщений?

17

email smtp starttls

Источник

jackweirdy 24 авг '14 в 21:47

2 ответа

Решение

Google ведет открытую статистику по процентам зашифрованной почты, как входящей, так и исходящей. Эта информация должна быть чрезвычайно полезной для вас, чтобы определить, стоит ли это реализовывать:

http://www.google.com/transparencyreport/saferemail/

12

Источник

Matt Sergeant 25 авг '14 в 13:45

Другие вопросы по тегам email smtp starttls

Joe Sniderman 24 авг '14 в 22:17 2014-08-24 22:17 · Accepted Answer · 2014-08-24 22:17

Да, это все еще плохая идея.

Три причины:

В то время как RFC, на который вы ссылались ( RFC 2487), фактически устарел в соответствии с действующим стандартом RFC 3207, текущий стандарт НЕ ДОЛЖЕН содержать слов, которые вы цитировали в своем вопросе.
Клиенты SMTP не обязаны реализовывать STARTTLS. Вполне допустимо не делать этого. Хотя STARTTLS становится все более распространенным явлением, оно не является универсальным.
По причинам 1 и 2, если вам требуется STARTTLS для всех входящих подключений, вы потеряете почту.

Тем не мение:

Ваш сервер - ваши правила. Если вы хотите произвольно отклонить любую почту по любой причине или даже без причины - это ваше право и привилегия. (однако это не значит, что это хорошая идея)

Примечания стороны:

Вы не предотвратите спам, требуя STARTTLS, даже если вам требуется взаимная аутентификация STARTTLS. Спамеры тоже могут получать сертификаты или создавать самозаверяющие. Отказ от самозаверяющих клиентских сертификатов также приведет к потере законной почты.

STARTTLS - это двухточечное шифрование. Система подключения все еще может читать содержимое письма. Если вы хотите по-настоящему уединиться, вам нужно что-то сквозное, например, OpenPGP или S/MIME.

Тем не менее, STARTTLS действительно удаляет один возможный путь для перехвата или MITM, и поэтому все еще хорошая идея использовать его, когда это возможно, то есть, когда другая сторона также поддерживает его.