Come è lo scambio di tls sui server di posta elettronica?

0

Tutti i server di posta elettronica (anche diversi provider) che implementano tls, usano tls per crittografare i messaggi e le intestazioni?

La mancanza della crittografia tls potrebbe essere un segno di ssl-downgrade e come scoprire se un server implementa tls?

    
posta Tech-IO 15.01.2017 - 16:12
fonte

1 risposta

2

Do all email servers (also different providers) that implement tls, use tls to encrypt the messages and headers?

L'utilizzo di TLS nel trasporto della posta elettronica non crittografa l'email stessa come l'uso di TLS in HTTP non codifica la richiesta e la risposta in modo specifico. Invece la connessione sottostante è crittografata, da start (smtps, porta 465) o dopo un comando STARTTLS (smtp, porta 25). Con la crittografia delle connessioni sottostanti viene protetto tutto ciò che si trova all'interno di queste connessioni, che includono nel caso di SMTP la posta ma anche i comandi SMTP per l'autorizzazione, le specifiche del mittente e del destinatario ecc.

... and how to find out if a server does implement tls?

È possibile connettersi al server e pronunciare il protocollo SMTP, emettere una richiesta EHLO e verificare se la risposta contiene le informazioni che il server supporta il comando STARTTLS:

$ telnet aspmx.l.google.com 25
220 mx.google.com ESMTP b48si10559063wrb.307 - gsmtp
ehlo myhost
250-mx.google.com at your service
...
250-STARTTLS

Si noti che, contrariamente all'uso di TLS per HTTP (cioè HTTPS) TLS in SMTP non fornisce una crittografia end-to-end dal mittente al destinatario ma solo una crittografia hop-by-hop tra gli agenti di trasferimento della posta ( MTA). In questo modo si scopre solo che uno specifico MTA supporta TLS e non che tutto il luppolo sulla strada verso un destinatario specifico lo fa. Inoltre, ogni hop ha la posta in chiaro, ad esempio solo il trasporto tra gli hop è protetto con TLS.

Could the missing of tls-encryption be a sign of ssl-downgrading ...

Esistono alcuni firewall che rimuovono STARTTLS dalla risposta e quindi impediscono al client di utilizzare TLS .

    
risposta data 15.01.2017 - 16:42
fonte

Leggi altre domande sui tag