就我这小白今年学会的几项技巧来说,smtp 似乎太不安全,比如说,这协议本身,通过 swaks 套件就可以仿造任何域名发出的邮件;关于密码、加密,hydra 可以无限爆破,没有被拦截的意思,是协议本身的问题无法再补漏洞进行安全设置吗?
1
Chaconne OP 就像这样爆破: https://ibb.co/9gYFCWF
|
2
leavic 2022-06-26 22:07:48 +08:00
感觉没什么办法,现在的各种应用协议都是几十年前的东西了,当时就没考虑这么多。
|
3
ruixue 2022-06-26 22:10:00 +08:00
smtp 本身不安全,所以才有额外的技术来增强安全性,比如用 spf 和 dkim 解决伪造发件人的问题,用 tls 解决明文传输的问题,用 fail2ban 解决无限爆破密码的问题
|
4
xy90321 2022-06-26 22:13:03 +08:00 via iPhone
你说得不就是 S/MIME 提供的数字签名和加密么?剩下就是 TLS 传输加密了。
|
6
serafin 2022-06-26 22:23:52 +08:00
你说的问题其实都有解决方案,就是要你自己单独配置一一解决。
|
9
wevsty 2022-06-27 01:39:23 +08:00 2
SMTP 本身没有对仿冒域名这种情况进行设计,但是目前业内都是通过 SPF,DKIM,DMARC 等辅助手段是可以抵御仿冒域名发送邮件的攻击。
SMTP 本身虽然设计之初是明文协议,但现在已经可以通过 STARTTLS ,或者传统的 TLS 来对连接进行加密,这也已经是业内普遍接受使用的手段,所以正确配置后在传输保密性的问题上并不会有问题。 至于密码爆破,我个人不认为这是一个安全性缺陷。并且防御密码爆破不是协议应该规定的内容,而是完全取决于各家软件上的实践。 所以就现在来说,我不认为 SMTP 协议本身有明显的安全缺陷。 |
11
julyclyde 2022-06-27 12:02:56 +08:00
破解就破解呗,还用什么套件……script kid 吧?
|
12
ecloud 2022-07-18 17:05:26 +08:00
你说的那东西 30 年前就有,只不过不叫 SMTP ,叫 X.400
当年 SMTP 设计的就不是给严肃商业使用的,有要求花钱买 X.400 的邮件系统就行 |