Почему SMTP через SSL между почтовыми серверами не так популярен? [закрыто]

11

В моем понимании, большинство почтовых серверов используют SMTP / POP / IMAP через SSL для шифрования электронной почты.
Он поддерживает шифрование, когда клиент (UA) отправляет электронную почту на сервер (MTA), а UA получает электронную почту от MTA. Тем не менее, не так много MTA могут шифровать при отправке электронной почты между MTA и MTA.
(мое понимание верно?)

например, alice@somewhere.com отправьте электронное письмо на bob@anywhere.org
[компьютер Алисы] --- зашифрованный (SMTPS) ---> [ серверwhere.com ] --- НЕ ШИФРОВАНО (SMTP) ---> [где угодно. сервер орг.] --- зашифрованный (POPS или IMAPS) ---> [компьютер Боба]

Если я правильно понимаю, почему большинство почтовых серверов не поддерживают SMTP через SSL между почтовыми серверами?

Я разрабатываю лучший (менее сложный) интерфейс для включения шифрования электронной почты с помощью PGP / GPG, но в настоящее время я думаю, что может быть лучше использовать SMTPS, поскольку PGP / GPG требует ручной подписи ключей для сохранения надежности.

security email ssl smtp Джумпей Огава
источник
Какое это имеет отношение к шифрованию электронной почты? Шифрование электронной почты означает для меня, что электронная почта зашифрована сама по себе ...
Уве Плонус
?? Извините, я не понял, что вы имеете в виду ... Как "электронная почта шифруется сама по себе"? В моем понимании, электронная почта может быть легко перехвачена, если вы отправите электронную почту в виде простого текста (без шифрования).
Джампей Огава
1
Да, но отправка зашифрованной электронной почты не имеет ничего общего с шифрованием SSL / TLS SMTP-сервера.
Уве Плонус
1
Чтобы убедиться, что вы получаете почту только по зашифрованному каналу на вашем SMTP-сервере, вам придется принудительно использовать TLS. Таким образом, если другая сторона не понимает / не поддерживает TLS, вы не получите свою почту. Если вы разрешите переход к незашифрованному общению, вы ничего не добились. Вот почему люди предпочитают шифровать почту и отправлять ее по незашифрованному каналу.
Der Hochstapler
Чтобы уточнить: «зашифрованная электронная почта» относится к шифрованию содержимого с использованием чего-то вроде PGP, прежде чем вы даже отправите его на сервер исходящей почты. Это имеет дополнительное преимущество, так как хранит его в секрете от того, кто запускает ваш MTA. Это не относится к шифрованию электронной почты между MTA; шифрование обычно применяется только на концах, а не в середине. Также обратите внимание, что связь между UA и MTA часто включает передачу некоторой формы пароля, который в любом случае должен быть зашифрован.
cpast

Ответы:

4

Хороший вопрос, я действительно не видел никаких цифр для этого. Я не уверен, но я думаю, что многие крупные компании теперь поддерживают SSL / TLS для входящей и исходящей SMTP (доставка почты "MX"). Это обычно необязательно и может быть согласовано через StartTLS на порту 25. Однако большинству SMTP-серверов не требуется TLS между серверами, поскольку это будет означать, что многие не смогут получать почту от MTA, который не поддерживает или не настроен для TLS.

Многие почтовые клиенты поддерживают TLS между UA и MTA - либо SMTP / IMAP по SSL, либо POP3 по SSL. Я думаю, что gmail, например, требует SSL / TLS для IMAP и POP3.

Что касается фактического сквозного шифрования электронной почты, это обычно достигается с помощью S / MIME или PGP. Однако из-за сложностей в его настройке и управлении он не получил широкого распространения.

woollybrain
источник
Спасибо. Так что мое понимание текущего состояния для шифрования электронной почты. Вы имеете в виду, что сервер-сервер SMTPS не поддерживается на многих серверах, потому что серверное программное обеспечение, такое как postfix, не поддерживает его? Если большинство почтовых серверов его поддерживают, проблема будет решена? (Может быть, я не правильно понимаю ваш ответ ...)
Jumpei Ogawa
Даже при согласовании шифрования обычно не проводится строгая проверка сертификатов, поскольку это блокирует все эти серверы с самозаверяющими сертификатами. Но без строгой проверки атаки «человек посередине» легко (не говоря уже о том, что MITM может помешать STARTTLS путем вмешательства в фазу открытого текста)
Хаген фон Айцен
RFC 2487 запрещает общедоступным почтовым серверам требовать TLS: «Общедоступный SMTP-сервер НЕ ДОЛЖЕН требовать использования расширения STARTTLS для локальной доставки почты. Это правило не позволяет расширению STARTTLS нарушать совместимость инфраструктуры SMTP в Интернете».
ARX