我不像本网站上的大多数人那样在技术上倾向于,所以请记住这一点。我想了解更多关于电子邮件安全的知识,所以我做了一些研究,一切都根据我的理解,所以请在需要的地方纠正我。客户端和服务器(MSA/MTA?)之间的连接可以加密,但服务器到服务器(MTA 到 MTA?)之间的加密取决于每个支持 STARTTLS 的服务器。STARTTLS 也可以在客户端和服务器之间实现。
我遇到的 STARTTLS 的唯一弱点是连接可以通过加密或纯文本形式被接受,因此它使 MITM 攻击变得微不足道,其中加密可以降级为纯文本。我也知道伪造证书存在问题,尽管我不知道这是否与 MITM 直接相关。
我读到这是一个实施问题,而不是协议本身。我遇到的一些解决方案涉及将客户端配置为在未通过 SSL/TLS 发生连接时发出通知或完全断开连接。是否有一种正确的方法来实现 STARTTLS 以便 MITM 是不可能的(而不是在它发生时对其做出反应,如果有意义的话)以及会在哪里发生?这些修复程序是打算覆盖服务器到服务器的连接还是只是客户端到服务器的连接?我还想更多地了解假证书的问题,这种弱点是如何可能的,以及如何通过实施或其他方式解决它。
我最感兴趣的是服务器到服务器之间的安全性,因为服务器到客户端似乎不是一个问题,并且已经被大多数 ESP 解决了。有没有更好的 STARTTLS 替代方案?正如我所提到的,我对这一切都不熟悉,我需要对其中大部分内容进行全面指导,包括如何实施/配置。如果没有人能在这里提供,就学习资源而言,我会很感激任何正确方向的观点。
另一方面......我也有兴趣了解实际的攻击/利用,我想知道上面提到的 MITM(服务器到服务器)类型是否可以针对特定连接(目标电子邮件地址?)或者更类似于抓住路过的任何东西。