Чому SMTP через SSL між серверами електронної пошти не так популярний? [зачинено]

Наразі це запитання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення .

Закрито 7 років тому .

Наскільки я розумію, більшість серверів електронної пошти використовують SMTP / POP / IMAP через SSL для шифрування електронної пошти.
Він підтримує шифрування, коли клієнт (UA) надсилає електронну пошту серверу (MTA), а UA отримує електронну пошту від MTA. Однак не так багато MTA можуть зашифрувати, коли вони надсилають електронний лист між MTA MTA.
(чи правильно я розумію?)

наприклад, alice@somewhere.com надішліть електронний лист на bob@anywhere.org
[ПК Аліси] --- зашифровано (SMTPS) ---> [десь сервер.com ] --- НЕ ЗАПИСАНО (SMTP) ---> [куди завгодно. org сервер] --- зашифровано (POPS або IMAPS) ---> [ПК Боба]

Якщо я розумію правильно, чому більшість серверів електронної пошти не підтримують SMTP через SSL між серверами електронної пошти?

Я розвиваю кращий (менш складний) інтерфейс, щоб увімкнути шифрування електронної пошти за допомогою PGP / GPG, але в наші дні я думаю, що краще використовувати SMTPS, оскільки PGP / GPG потребує підписання ключа вручну, щоб зберегти надійність.

— Jumpei Ogawa
джерело

Що це стосується шифрування електронної пошти? Шифрування електронної пошти означає для мене, що електронна пошта зашифрована самостійно ...

— Uwe Plonus

?? Вибачте, я не зрозумів, що ви маєте на увазі ... Як "електронна пошта зашифрована самостійно"? На моє розуміння, електронну пошту можна легко перехопити, якщо надіслати електронний лист у вигляді простого тексту (без шифрування).

— Jumpei Ogawa

Так, але надсилання зашифрованого електронного листа не має нічого спільного з шифруванням SSL / TLS SMTP-сервера.

— Uwe Plonus

Щоб переконатися, що ви отримуєте пошту тільки зашифрованим каналом на вашому SMTP-сервері, вам доведеться змусити використовувати TLS. Отже, якщо інша сторона не розуміє / не підтримує TLS, ви не отримаєте вашу пошту. Якщо ви дозволите незаконне спілкування, ви нічого не досягли. Ось чому люди краще вирішують зашифрувати саму пошту та надсилати її через незашифрований канал.

— Der Hochstapler

Для уточнення: "зашифрований електронний лист" означає шифрування вмісту, використовуючи щось на зразок PGP, перш ніж навіть надіслати його на ваш сервер вихідної пошти. Це має додаткову перевагу - зберігати його в таємниці від того, хто керує вашим MTA. Це не стосується шифрування електронної пошти між MTA; шифрування зазвичай застосовується лише на кінцях, а не посередині. Зауважимо також, що зв’язок між UA та MTA часто включає передачу певної форми пароля, яка повинна бути зашифрована в будь-якому випадку.

— cpast

Добре запитання, я дійсно не бачив жодної цифри для цього. Я не впевнений, але я думаю, що багато великих компаній зараз підтримують SSL / TLS для вхідної та вихідної SMTP (доставки пошти "MX"). Це, як правило, необов'язково, і їх можна узгодити через StartTLS на порт 25. Більшість серверів SMTP не вимагають TLS-сервера на сервері, оскільки це означатиме, що багато хто не зможе отримувати пошту від MTA, яка не підтримує або не налаштована. для TLS.

Багато клієнтів електронної пошти підтримують TLS між UA та MTA - або SMTP / IMAP через SSL, або POP3 через SSL. Я думаю, що для Gmail наприклад потрібні SSL / TLS для IMAP та POP3.

Що стосується фактичного шифрування електронної пошти від кінця до кінця, це зазвичай досягається за допомогою S / MIME або PGP. Однак через складності в його налаштуванні та управлінні ним не спостерігається широкомасштабного прийняття.

— шерстяний мозок
джерело

Дякую. Так що я розумію поточний стан шифрування електронної пошти. Ви маєте на увазі, що SMTPS з сервера на сервер не підтримується на багатьох серверах, оскільки серверне програмне забезпечення, як Postfix, не підтримує його? Якщо більшість поштових серверів підтримує це, проблема буде вирішена? (Можливо, я не правильно розумію вашу відповідь ...)

— Jumpei Ogawa,

Навіть коли домовляються про шифрування, зазвичай не проводиться сувора перевірка сертифікатів, оскільки це заблокує всі ці сервери з самопідписаними сертифікатами. Але без суворої перевірки атаки людини в середині легко (не кажучи вже про те, що MITM може запобігти STARTTLS шляхом втручання у фазу

— чіткого тексту

RFC 2487 забороняє публічним серверам пошти вимагати TLS: "SMTP-сервер із загальним посиланням НЕ МОЖЕТЕ вимагати використання розширення STARTTLS для локальної доставки пошти. Це правило запобігає розширенню STARTTLS не пошкоджувати сумісність інфраструктури SMTP Інтернету."

— ARX