smtp 的邮件协议的安全性

就像这样爆破： https://ibb.co/9gYFCWF

感觉没什么办法，现在的各种应用协议都是几十年前的东西了，当时就没考虑这么多。

smtp 本身不安全，所以才有额外的技术来增强安全性，比如用 spf 和 dkim 解决伪造发件人的问题，用 tls 解决明文传输的问题，用 fail2ban 解决无限爆破密码的问题

你说得不就是 S/MIME 提供的数字签名和加密么？剩下就是 TLS 传输加密了。

@xy90321 太深的细节我就不了解了，小白一枚，多多指教

你说的问题其实都有解决方案，就是要你自己单独配置一一解决。

@serafin 搜噶，貌似 tx 企业邮没有配置，可以爆破，我刚测试自己的，破成功了

@Chaconne 好奇几次爆破成功的？

SMTP 本身没有对仿冒域名这种情况进行设计，但是目前业内都是通过 SPF,DKIM,DMARC 等辅助手段是可以抵御仿冒域名发送邮件的攻击。
SMTP 本身虽然设计之初是明文协议，但现在已经可以通过 STARTTLS ，或者传统的 TLS 来对连接进行加密，这也已经是业内普遍接受使用的手段，所以正确配置后在传输保密性的问题上并不会有问题。
至于密码爆破，我个人不认为这是一个安全性缺陷。并且防御密码爆破不是协议应该规定的内容，而是完全取决于各家软件上的实践。

所以就现在来说，我不认为 SMTP 协议本身有明显的安全缺陷。

@Chaconne #1 这种爆破完全可以根据 IP 白名单、尝试次数等策略防止。和 SMTP 协议本身无关。

破解就破解呗，还用什么套件……script kid 吧？

你说的那东西 30 年前就有，只不过不叫 SMTP ，叫 X.400
当年 SMTP 设计的就不是给严肃商业使用的，有要求花钱买 X.400 的邮件系统就行