在 SMTP服务器上保护提交端口587的建议方法是什么, STARTTLS命令或直接TLS层?
我目前倾向于使用(强制) STARTTLS 命令,而不是直接使用TLS图层。如果出现问题,可以在不更改MUA配置的情况下禁用 STARTTLS 命令。我认为在直接使用TLS层的情况下,它不会那么简单。
还有其他建议,意见吗?我没有发现它是否在某些RFC中标准化。
答案 0 :(得分:1)
你没有选择权。端口587始终是STARTTLS命令。允许SSL包装("直接TLS")连接的唯一标准端口是端口465。
答案 1 :(得分:0)
RFC 4409仅讨论与可选的STARTTLS命令提交端口587的纯文本通信。
忽略其他SSL / TLS安全问题,重要的是确保对SSL / TLS剥离攻击的保护。
如果MUA配置为使用STARTTLS连接到端口587,则当MITM攻击者剥离EHLO命令STARTTLS时,它必须拒绝连接。
如果服务器配置为使用SSL / TLS包装的SMTP层和配置为使用包装层的客户端,则当MITM攻击者剥离整个SSL / TLS层时,MUA客户端必须再次拒绝连接。
从安全的角度来看,这两种方法没有区别。
尽管如此,通常建议遵守RFC并在端口587上使用STARTTLS。