什麼建議SMTP服務器, STARTTLS命令或直接TLS層上確保提交端口587的方法?什麼TLS方法更適合587端口?
我目前傾向於使用(必選)STARTTLS命令而不是直接的TLS層。如果遇到問題,可以禁用STARTTLS命令,而不更改MUA的配置。我認爲在直接使用TLS層的情況下,它不會那麼簡單。
是否還有其他的建議,意見?我沒有發現它在某些RFC中是否標準化。
什麼建議SMTP服務器, STARTTLS命令或直接TLS層上確保提交端口587的方法?什麼TLS方法更適合587端口?
我目前傾向於使用(必選)STARTTLS命令而不是直接的TLS層。如果遇到問題,可以禁用STARTTLS命令,而不更改MUA的配置。我認爲在直接使用TLS層的情況下,它不會那麼簡單。
是否還有其他的建議,意見?我沒有發現它在某些RFC中是否標準化。
RFC 4409次僅約帶有可選STARTTLS命令提交端口587
忽略其它SSL/TLS純文本通信會談安全問題,重要的是要確保對SSL/TLS剝離攻擊的保護。
如果MUA被配置爲與STARTTLS連接到端口587,它必須當攻擊者MITM條EHLO命令STARTTLS拒絕連接。
如果服務器被配置爲使用配置爲使用包裹層SSL/TLS包裹SMTP層和客戶端,再次MUA客戶端必須拒絕連接時MITM攻擊者條全SSL/TLS層。
從安全角度來看存在這兩種方法之間沒有差別。
儘管如此,通常建議尊重RFC並在端口587上使用STARTTLS。
你沒有選擇。端口587始終是STARTTLS命令。唯一的標準端口允許SSL封裝(「直接TLS」)連接端口465。