Ainda é “errado” exigir STARTTLS em mensagens SMTP de entrada?

Question

Ainda é “errado” exigir STARTTLS em mensagens SMTP de entrada?

#1 resposta do (17 votos)
#2 resposta do (6 votos)

13

De acordo com a Especificação STARTTLS Seção 5:

A publicly-referenced SMTP server MUST NOT require use of the
STARTTLS extension in order to deliver mail locally. This rule
prevents the STARTTLS extension from damaging the interoperability of the Internet's SMTP infrastructure. A publicly-referenced SMTP server is an SMTP server which runs on port 25 of an Internet host listed in the MX record (or A record if an MX record is not present) for the
domain name on the right hand side of an Internet mail address.

No entanto, essa especificação foi escrita em 1999, e considerando que é 2014, eu esperaria que a maioria dos clientes, servidores e retransmissões SMTP tivessem algum tipo de implementação de STARTTLS.

Quanto email posso esperar perder se eu precisar de STARTTLS para mensagens recebidas?

email smtp starttls

por jackweirdy 24.08.2014 / 23:47

2 respostas

6

O Google mantém estatísticas abertas sobre sua porcentagem de mensagens criptografadas, tanto de entrada quanto de saída. Esta informação deve ser extremamente útil para você determinar se vale a pena implementá-la:

link

por 25.08.2014 / 15:45

Tags email smtp starttls

rdesktop para o windows server 2012 do Ubuntu Backup do MySQL Server

score 17 · Accepted Answer

Sim, ainda é uma má ideia.

Três motivos:

Embora o RFC que você citou ( RFC 2487 ) esteja de fato obsoleto pelo padrão atual RFC 3207 , o padrão atual mantém o palavreado que você NÃO citou em sua pergunta.
Os clientes SMTP não precisam implementar o STARTTLS. É totalmente aceitável não fazê-lo. Enquanto o STARTTLS está se tornando mais comum, não é absolutamente universal.
Como resultado das razões 1 e 2, se você precisar de STARTTLS em todas as conexões de entrada, perderá as mensagens.

No entanto:

Seu servidor - suas regras. Se você quiser rejeitar arbitrariamente qualquer e-mail por qualquer motivo, ou mesmo sem motivo - isso é seu direito e privilégio. (não significa que seja necessariamente uma ótima idéia, no entanto)

Notas laterais:

Você não evitará spam exigindo STARTTLS, mesmo se precisar de autenticação mútua STARTTLS. Os spammers também podem obter certificados - ou criar certificados auto-assinados. Rejeitar certificados de cliente autoassinados também resultará na perda de mensagens legítimas.

STARTTLS é criptografia ponto-a-ponto. O sistema de conexão ainda pode ler o conteúdo do email. Se você quer privacidade real, precisa de algo de ponta a ponta, como OpenPGP ou S / MIME.

Dito isso, o STARTTLS remove uma possível rota de interceptação ou MITM e, portanto, ainda é uma boa ideia usá-lo quando possível, ou seja, quando o outro lado também o suporta.