V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Chaconne
V2EX  ›  信息安全

smtp 的邮件协议的安全性

  •  
  •   Chaconne · 2022-06-26 21:53:17 +08:00 · 2455 次点击
    这是一个创建于 880 天前的主题,其中的信息可能已经有所发展或是发生改变。

    就我这小白今年学会的几项技巧来说,smtp 似乎太不安全,比如说,这协议本身,通过 swaks 套件就可以仿造任何域名发出的邮件;关于密码、加密,hydra 可以无限爆破,没有被拦截的意思,是协议本身的问题无法再补漏洞进行安全设置吗?

    12 条回复    2022-07-18 17:05:26 +08:00
    Chaconne
        1
    Chaconne  
    OP
       2022-06-26 21:54:06 +08:00
    就像这样爆破: https://ibb.co/9gYFCWF
    leavic
        2
    leavic  
       2022-06-26 22:07:48 +08:00
    感觉没什么办法,现在的各种应用协议都是几十年前的东西了,当时就没考虑这么多。
    ruixue
        3
    ruixue  
       2022-06-26 22:10:00 +08:00
    smtp 本身不安全,所以才有额外的技术来增强安全性,比如用 spf 和 dkim 解决伪造发件人的问题,用 tls 解决明文传输的问题,用 fail2ban 解决无限爆破密码的问题
    xy90321
        4
    xy90321  
       2022-06-26 22:13:03 +08:00 via iPhone
    你说得不就是 S/MIME 提供的数字签名和加密么?剩下就是 TLS 传输加密了。
    Chaconne
        5
    Chaconne  
    OP
       2022-06-26 22:18:52 +08:00
    @xy90321 太深的细节我就不了解了,小白一枚,多多指教
    serafin
        6
    serafin  
       2022-06-26 22:23:52 +08:00
    你说的问题其实都有解决方案,就是要你自己单独配置一一解决。
    Chaconne
        7
    Chaconne  
    OP
       2022-06-26 22:31:31 +08:00
    @serafin 搜噶,貌似 tx 企业邮没有配置,可以爆破,我刚测试自己的,破成功了
    serafin
        8
    serafin  
       2022-06-26 23:17:46 +08:00
    @Chaconne 好奇几次爆破成功的?
    wevsty
        9
    wevsty  
       2022-06-27 01:39:23 +08:00   ❤️ 2
    SMTP 本身没有对仿冒域名这种情况进行设计,但是目前业内都是通过 SPF,DKIM,DMARC 等辅助手段是可以抵御仿冒域名发送邮件的攻击。
    SMTP 本身虽然设计之初是明文协议,但现在已经可以通过 STARTTLS ,或者传统的 TLS 来对连接进行加密,这也已经是业内普遍接受使用的手段,所以正确配置后在传输保密性的问题上并不会有问题。
    至于密码爆破,我个人不认为这是一个安全性缺陷。并且防御密码爆破不是协议应该规定的内容,而是完全取决于各家软件上的实践。

    所以就现在来说,我不认为 SMTP 协议本身有明显的安全缺陷。
    dzdh
        10
    dzdh  
       2022-06-27 11:39:01 +08:00
    @Chaconne #1 这种爆破完全可以根据 IP 白名单、尝试次数等策略防止。和 SMTP 协议本身无关。
    julyclyde
        11
    julyclyde  
       2022-06-27 12:02:56 +08:00
    破解就破解呗,还用什么套件……script kid 吧?
    ecloud
        12
    ecloud  
       2022-07-18 17:05:26 +08:00
    你说的那东西 30 年前就有,只不过不叫 SMTP ,叫 X.400
    当年 SMTP 设计的就不是给严肃商业使用的,有要求花钱买 X.400 的邮件系统就行
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2643 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 11:05 · PVG 19:05 · LAX 03:05 · JFK 06:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.