Pourquoi le SMTP sur SSL entre les serveurs de messagerie n'est-il pas si populaire? [fermé]

À ma connaissance, la plupart des serveurs de messagerie utilisent SMTP / POP / IMAP sur SSL pour crypter le courrier électronique.
Il prend en charge le chiffrement lorsque le client (UA) envoie un courrier électronique au serveur (MTA) et que UA reçoit un courrier électronique du MTA. Cependant, peu de MTA peuvent chiffrer lorsqu'ils envoient des e-mails entre MTA et MTA.
(ma compréhension est-elle correcte?)

par exemple [email protected] envoyer un e-mail à [email protected]
[PC d'Alice] --- crypté (SMTPS) ---> [ serveurwhere.com ] --- NON CRYPTÉ (SMTP) ---> [n'importe où. serveur org] --- crypté (POPS ou IMAPS) ---> [PC de Bob]

Si ma compréhension est correcte, pourquoi la plupart des serveurs de messagerie ne prennent pas en charge SMTP sur SSL entre les serveurs de messagerie?

Je développe une meilleure interface (moins complexe) pour permettre le cryptage des e-mails avec PGP / GPG, mais ces jours-ci, je pense qu'il peut être préférable d'utiliser SMTPS car PGP / GPG a besoin d'une signature de clé manuelle pour maintenir la fiabilité.

security email ssl smtp Jumpei Ogawa
la source

Qu'est-ce que cela a à voir avec le cryptage des e-mails? le cryptage des e-mails signifie pour moi que les e-mails sont cryptés seuls ...

Uwe Plonus

?? Désolé, je n'ai pas compris ce que vous voulez dire ... Comment "le courrier électronique est crypté par lui-même"? À ma connaissance, les e-mails peuvent être facilement interceptés si vous envoyez des e-mails en texte brut (sans cryptage).

Jumpei Ogawa

Oui, mais l'envoi d'un e-mail crypté n'a rien à voir avec le cryptage SSL / TLS du serveur SMTP.

Uwe Plonus

Pour vous assurer que vous ne recevez du courrier que sur un canal crypté sur votre serveur SMTP, vous devrez forcer l' utilisation de TLS. Donc, si l'autre partie ne comprend pas / ne prend pas en charge TLS, vous ne recevrez pas votre courrier. Si vous autorisez un repli sur une communication non chiffrée, vous n'avez rien obtenu. C'est pourquoi les gens préfèrent plutôt crypter le courrier lui-même et l'envoyer sur un canal non crypté.

Der Hochstapler

Pour clarifier: «e-mail crypté» fait référence au cryptage du contenu à l'aide de quelque chose comme PGP avant même de l'envoyer à votre serveur de messagerie sortant. Cela a l'avantage supplémentaire de garder le secret de celui qui exécute votre MTA. Il ne fait pas référence au chiffrement du courrier électronique entre les MTA; le chiffrement n'est normalement appliqué qu'aux extrémités, pas au milieu. Notez également que la communication entre UA et MTA implique souvent la transmission d'une certaine forme de mot de passe, qui doit être chiffré de toute façon.

cpast

Réponses:

Bonne question, je n'ai vraiment pas vu de chiffres à ce sujet. Je ne suis pas sûr, mais je pense que de nombreuses grandes entreprises prennent désormais en charge SSL / TLS pour le SMTP entrant et sortant (livraison de courrier "MX"). Ceci est normalement facultatif et peut être négocié via StartTLS sur le port 25. La plupart des serveurs SMTP ne nécessitent pas de TLS de serveur à serveur, car cela signifierait que beaucoup ne pourraient pas recevoir de courrier d'un MTA qui ne prend pas en charge ou n'est pas configuré pour TLS.

De nombreux clients de messagerie prennent en charge TLS entre l'UA et le MTA - SMTP / IMAP sur SSL ou POP3 sur SSL. Je pense que gmail par exemple nécessite SSL / TLS pour IMAP et POP3.

En ce qui concerne le chiffrement réel des e-mails de bout en bout, cela est normalement réalisé en utilisant S / MIME ou PGP. Cependant, en raison de la complexité de sa mise en place et de sa gestion, il n'a pas été adopté à grande échelle.

laineux
la source

Je vous remercie. Donc, ma compréhension de l'état actuel du cryptage des e-mails. Vous voulez dire que le SMTPS de serveur à serveur n'est pas pris en charge dans de nombreux serveurs parce que les logiciels serveur comme postfix ne le prennent pas en charge? Si la plupart des serveurs de messagerie le supportent, le problème sera résolu? (Peut-être que je ne comprends pas votre réponse correctement ...)

Jumpei Ogawa

Même lorsque le chiffrement est négocié, généralement aucune vérification stricte des certificats n'est effectuée car cela bloquerait tous ces serveurs avec des certificats auto-signés. Mais sans vérification stricte, une attaque d'homme au milieu est facile (sans mentionner qu'un MITM pourrait empêcher STARTTLS en intervenant dans la phase de texte clair)

Hagen von Eitzen

La RFC 2487 interdit aux serveurs de messagerie publics d'exiger TLS: "Un serveur SMTP référencé publiquement NE DOIT PAS exiger l'utilisation de l'extension STARTTLS pour livrer du courrier localement. Cette règle empêche l'extension STARTTLS d'endommager l'interopérabilité de l'infrastructure SMTP d'Internet."

ARX