smtp 的邮件协议的安全性

2022-06-26 21:53:17 +08:00
 Chaconne

就我这小白今年学会的几项技巧来说,smtp 似乎太不安全,比如说,这协议本身,通过 swaks 套件就可以仿造任何域名发出的邮件;关于密码、加密,hydra 可以无限爆破,没有被拦截的意思,是协议本身的问题无法再补漏洞进行安全设置吗?

2487 次点击
所在节点    信息安全
12 条回复
Chaconne
2022-06-26 21:54:06 +08:00
就像这样爆破: https://ibb.co/9gYFCWF
leavic
2022-06-26 22:07:48 +08:00
感觉没什么办法,现在的各种应用协议都是几十年前的东西了,当时就没考虑这么多。
ruixue
2022-06-26 22:10:00 +08:00
smtp 本身不安全,所以才有额外的技术来增强安全性,比如用 spf 和 dkim 解决伪造发件人的问题,用 tls 解决明文传输的问题,用 fail2ban 解决无限爆破密码的问题
xy90321
2022-06-26 22:13:03 +08:00
你说得不就是 S/MIME 提供的数字签名和加密么?剩下就是 TLS 传输加密了。
Chaconne
2022-06-26 22:18:52 +08:00
@xy90321 太深的细节我就不了解了,小白一枚,多多指教
serafin
2022-06-26 22:23:52 +08:00
你说的问题其实都有解决方案,就是要你自己单独配置一一解决。
Chaconne
2022-06-26 22:31:31 +08:00
@serafin 搜噶,貌似 tx 企业邮没有配置,可以爆破,我刚测试自己的,破成功了
serafin
2022-06-26 23:17:46 +08:00
@Chaconne 好奇几次爆破成功的?
wevsty
2022-06-27 01:39:23 +08:00
SMTP 本身没有对仿冒域名这种情况进行设计,但是目前业内都是通过 SPF,DKIM,DMARC 等辅助手段是可以抵御仿冒域名发送邮件的攻击。
SMTP 本身虽然设计之初是明文协议,但现在已经可以通过 STARTTLS ,或者传统的 TLS 来对连接进行加密,这也已经是业内普遍接受使用的手段,所以正确配置后在传输保密性的问题上并不会有问题。
至于密码爆破,我个人不认为这是一个安全性缺陷。并且防御密码爆破不是协议应该规定的内容,而是完全取决于各家软件上的实践。

所以就现在来说,我不认为 SMTP 协议本身有明显的安全缺陷。
dzdh
2022-06-27 11:39:01 +08:00
@Chaconne #1 这种爆破完全可以根据 IP 白名单、尝试次数等策略防止。和 SMTP 协议本身无关。
julyclyde
2022-06-27 12:02:56 +08:00
破解就破解呗,还用什么套件……script kid 吧?
ecloud
2022-07-18 17:05:26 +08:00
你说的那东西 30 年前就有,只不过不叫 SMTP ,叫 X.400
当年 SMTP 设计的就不是给严肃商业使用的,有要求花钱买 X.400 的邮件系统就行

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/862345

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX