Invio di posta tramite TLS

0

Eseguo un semplice servizio web e ho bisogno di inviare email in modo sicuro agli utenti tramite PHP.

Non ci sono caselle postali / account coinvolti. È una semplice funzione di sola invio.

Senza coinvolgere PGP, ho trovato le seguenti opzioni:

  1. Utilizza il server SMTP locale e configura TLS in uscita (potrebbe ancora viaggiare tramite testo in chiaro su Internet?)
  2. Controlla l'indirizzo email dell'utente. Se il suo @ gmail .com (o hotmail / outlook / yahoo ) viene inviato al server SMTP Gmail / Hotmail / etc utilizzando TLS (molto probabilmente essere criptato fino in fondo?)
  3. Altre opzioni?

Apprezza qualsiasi aiuto / pensiero.

    
posta MrRobot909 24.08.2016 - 19:01
fonte

1 risposta

2

I run a simple web service, and I need to securely send emails to users via PHP.

I tuoi requisiti precisi di "inviare e-mail in modo sicuro" sono sconosciuti. Ma nessuna delle tue proposte offre sicurezza end-to-end, ovvero a seconda del percorso che una o più parti possono intercettare e persino modificare la posta.

In dettaglio:

SMTP ha solo la crittografia hop-by-hop, il che significa che qualsiasi MTA sulla via avrà la posta in chiaro anche se TLS è stato utilizzato per trasmettere la posta al MTA.

Inoltre, non vi è alcuna garanzia che TLS venga utilizzato perché il trasferimento SMTP inizia in modo semplice (senza crittografia) e viene aggiornato solo opzionalmente a TLS con il comando STARTTLS. Se questo fallisce o se nessun STARTTLS è offerto dal MTA ricevente, la posta è solitamente inviata in testo semplice (cioè la crittografia best effort). Esistono vari modi in cui TLS può avere esito negativo (configurazione errata) o essere in grado di fallire da parte di un utente malintenzionato e ci sono anche firewall che semplicemente rimuovono in modo trasparente il supporto di STARTTLS in modo che possano controllare la posta.

A parte questo il MTA hop successivo viene scelto dal record MX DNS. Con lo spoofing del DNS, la posta può quindi essere reindirizzata / intercettata a meno che l'MTA di invio non stia utilizzando il DNSSec rigoroso, che in genere non lo è.

    
risposta data 24.08.2016 - 19:14
fonte

Leggi altre domande sui tag