Почему SMTP-серверы не требуют, чтобы все отправители проходили аутентификацию перед приемом почты?
Почему SMTP-серверы не требуют, чтобы все отправители проходили аутентификацию перед приемом почты?
2 ответа
Протокол отправки почты ( RFC4409) выполняет именно то, что вы запрашиваете (он требует как шифрования, так и аутентификации) и используется большинством интернет-провайдеров, но, вероятно, это не то, что вы имеете в виду, поскольку он предназначен только для исходящих сообщений.
Для входящих это сложнее. Не может быть механизма "пользователь / пароль", потому что любой сервер в мире мог бы отправлять вам что-то законным образом без предварительного уведомления, поэтому принимающий сервер должен исследовать отправителя. Существует несколько протоколов, позволяющих работать в SMTP, в частности: SPF, DKIM и DMARC. У SPF есть изменчивая история, которой не помог протокол Microsoft SenderID, который действительно запутывал вещи и не был полезен.
SPF намеревается авторизовать источники электронной почты через IP-адрес или имя хоста, используя записи DNS. Если правила не приводят к прямым результатам PASS или FAIL, это не очень эффективно и накладывает ограничения на пользовательские настройки (например, запрещает пользователям использовать почтовые серверы ISP для отправки с домена своей компании). Его эффективность ограничена, однако его поддерживают многие крупные интернет-провайдеры.
DKIM намеревается доказать, что содержимое сообщения не было подделано при передаче, предоставив криптографический хеш заголовков и тел сообщений. Он имеет параллели с сигнатурами S/MIME, но на другом уровне в стеке.
SPF и DKIM хорошо работают вместе, но им не хватает управленческого контроля в отношении того, что делать при сбое - не предусмотрено никаких механизмов для сообщения о нарушениях, и большинство сбоев просто теряется в файлах журналов. DMARC намеревается решить эту проблему путем определения механизмов отчетности. Таким образом, DMARC устраняет догадки относительно того, что делать со сбоями SPF и DKIM, которые требуются в противном случае.
Отвечая на ваш вопрос, SPF прост в реализации (это просто запись DNS), но решить, что в него вставить, может быть сложно. DKIM сложен, и интеграция с почтовыми серверами может быть сложной. DMARC полагается на их реализацию. Взятые вместе, поэтому многие домены не реализуют ни один из них.
Существуют возможные альтернативы, такие как протокол IM2000 от DJB, который переносит бремя хранения и аутентификации на отправителя, но это предполагает замену всего мира SMTP-серверов, так что это скорее академическое упражнение, чем что-либо еще.
Какую проблему ты пытаешься решить?
Допустим, каждый SMTP-сервер требует имя пользователя и пароль. Теперь вам придется сохранять имя пользователя и пароль для каждого человека, который может когда-либо отправлять электронную почту любому из ваших пользователей. Это невозможно. Представьте, однако, что это возможно. Спаммер тогда просто создаст новое имя пользователя и пароль и отправит вам спам. Если вы отключите учетную запись, они создадут новое имя пользователя и пароль. Это не лучше, чем если бы вы заблокировали их IP-адрес; они переезжают на новый IP-адрес.
Допустим, вы приняли только электронное письмо с подписью GPG, чтобы вы знали, кто отправил сообщение. Это еще одна форма аутентификации, но она не требует настройки имени пользователя и пароля для каждого пользователя в мире. Спаммеры просто подпишут весь свой спам. Это бы немного замедлило их, и вы бы знали, что да, этот спам абсолютно исходит от конкретного человека. Однако вам все равно придется заблокировать этого человека, который затем сгенерирует новый ключ GPG, и цикл повторится.
SMTP - это "федеративная служба". Каждая система электронной почты является автономной, но федерация (совокупность всех SMTP-серверов в Интернете) может взаимодействовать друг с другом. Проблема такой большой федерации заключается в том, что она должна работать на доверии; и спамеры разрушают это доверие. Доверие является социальной проблемой. Вы не можете решить социальные проблемы с технологией.