邮件服务器间连接是否使用双向 TLS (mTLS)?
Does inter mail server connection use mutual TLS (mTLS)?
我想知道电子邮件是如何保护的(加密和签名),然后用谷歌搜索并获得了以下知识。
- 通常情况下,端到端加密是不会执行的。如果要加密,则需要另一种协议,例如S/MIME。
- 邮件服务器间连接大多使用 StartTLS 加密。
不过,我无法查明邮件服务器间连接是否使用双向 TLS。
换句话说,当发件人的邮件服务器(例如,归 Google 所有)将电子邮件发送到收件人的邮件服务器(例如,归 Microsoft 所有)时,后者会检查前者的证书并验证发件人确实是他所说的人他是?
不,默认情况下不使用相互 SSL
emails totally can't be trusted
你是对的。就像你不能相信发件人的名字一样。但是,电子邮件 header
中还有其他措施(不幸的是,并不总是使用或强制执行)
- 路由信息(可以被欺骗
- 域密钥识别邮件
首先,电子邮件远没有人们想象和希望的安全。因为我不了解电子邮件并且和你有类似的问题,所以我花了几个月的时间研究现代电子邮件的所有技术方面,结果 this article.
如您所知,据 Google/Gmail 报道,end-to-end encryption is totally independent from everything else. Encrypting email in transit is optional, and the percentage of TLS-secured connections 从 2013 年的约 40% 增加到 2020 年的约 90%。
ESMTP 本身只提供 opportunistic security, which is useful only against passive attackers. As a result, the identity of the receiving server is often not even verified.
有两种标准即使在存在活跃攻击者的情况下也能提供机密性,但尚未广泛部署:
- DNS-Based Authentication of Named Entities (DANE)
- Mail Transfer Agent Strict Transport Security (MTA-STS)
验证电子邮件来自发件人的域 solved separately 符合以下标准:
- Sender Policy Framework (SPF)
- DomainKeys Identified Mail (DKIM)
- Domain-based Message Authentication, Reporting, and Conformance (DMARC)
这些标准比以前的标准部署得更广泛,但我们离“普遍”采用和执行还有很长的路要走。原因之一是并不是每个人都认为 email spoofing as a bug. Mailing lists 将其用作一项功能。
我想知道电子邮件是如何保护的(加密和签名),然后用谷歌搜索并获得了以下知识。
- 通常情况下,端到端加密是不会执行的。如果要加密,则需要另一种协议,例如S/MIME。
- 邮件服务器间连接大多使用 StartTLS 加密。
不过,我无法查明邮件服务器间连接是否使用双向 TLS。 换句话说,当发件人的邮件服务器(例如,归 Google 所有)将电子邮件发送到收件人的邮件服务器(例如,归 Microsoft 所有)时,后者会检查前者的证书并验证发件人确实是他所说的人他是?
不,默认情况下不使用相互 SSL
emails totally can't be trusted
你是对的。就像你不能相信发件人的名字一样。但是,电子邮件 header
中还有其他措施(不幸的是,并不总是使用或强制执行)- 路由信息(可以被欺骗
- 域密钥识别邮件
首先,电子邮件远没有人们想象和希望的安全。因为我不了解电子邮件并且和你有类似的问题,所以我花了几个月的时间研究现代电子邮件的所有技术方面,结果 this article.
如您所知,据 Google/Gmail 报道,end-to-end encryption is totally independent from everything else. Encrypting email in transit is optional, and the percentage of TLS-secured connections 从 2013 年的约 40% 增加到 2020 年的约 90%。
ESMTP 本身只提供 opportunistic security, which is useful only against passive attackers. As a result, the identity of the receiving server is often not even verified.
有两种标准即使在存在活跃攻击者的情况下也能提供机密性,但尚未广泛部署:
- DNS-Based Authentication of Named Entities (DANE)
- Mail Transfer Agent Strict Transport Security (MTA-STS)
验证电子邮件来自发件人的域 solved separately 符合以下标准:
- Sender Policy Framework (SPF)
- DomainKeys Identified Mail (DKIM)
- Domain-based Message Authentication, Reporting, and Conformance (DMARC)
这些标准比以前的标准部署得更广泛,但我们离“普遍”采用和执行还有很长的路要走。原因之一是并不是每个人都认为 email spoofing as a bug. Mailing lists 将其用作一项功能。