Vòng đời của e-mail sau khi được gửi

13

Tôi đã kiểm tra cấu hình STARTTLS của máy chủ thư của mình khi tôi tình cờ vào trang này: https://starttls.info/about . Đoạn trích sau đây đánh đố tôi:

Khi bạn gửi email thông qua máy chủ thư đi, email đó sẽ có khả năng thực hiện nhiều bước nhảy giữa các máy chủ thư khác nhau trước khi đến đích. Tất cả các máy chủ trung gian này sẽ phải có hỗ trợ STARTTLS mạnh mẽ, để thông điệp của bạn không bị lộ trong một hoặc nhiều giai đoạn của hành trình.

Theo hiểu biết của tôi thì quá trình gửi e-mail là như sau:

  1. Máy chủ thư thực hiện tra cứu DNS để lấy MX tên miền của người nhận.
  2. Máy chủ thư bắt đầu kết nối với IP thu được trên cổng 25 (SMTP).
  3. Nếu cả hai máy chủ đều hỗ trợ mã hóa cơ hội, kết nối an toàn sẽ được thiết lập.
  4. Email được gửi đến người nhận (EHLO, MAIL TỪ:, RCPT TO:, DATA ,.)

Bây giờ ở đâu trong tất cả những điều này có một cơ hội cho e-mail nảy xung quanh nhiều máy chủ?

email 
Thi công
nguồn
1
Lấy một email nhận được, nhìn vào các tiêu đề. Mỗi dòng "Đã nhận:" hiển thị một hệ thống mà thư đã đi qua. Có thể có một số hệ thống trên cùng một máy chủ (ví dụ: bộ lọc thư rác hoặc trình quét vi-rút), hầu hết có thể nhận ra từ địa chỉ "localhost". Nhưng phần còn lại sẽ là tất cả các máy chủ xử lý email đó. Ít nhất là theo như chúng tuân thủ RFC và để lại một trong những tiêu đề "Đã nhận:".
Dubu

Câu trả lời:

19

Thư thường xuyên bị trả lại giữa các máy chủ. Ví dụ: nếu tôi gửi email cho bạn bè thì có thể:

  • Đi từ máy tính của tôi đến máy chủ thư của riêng tôi (hy vọng được mã hóa)
  • Máy chủ thư của tôi gửi nó đến smarthost, vì nó được cấu hình để không gửi thư trực tiếp
  • Smarthost gửi nó đến bản ghi MX của miền định mệnh, đây là một bộ lọc thư rác được lưu trữ
  • Bộ lọc thư rác cố gửi nó đến máy chủ thư thực của mục tiêu, nhưng không thể truy cập được, vì vậy nó sử dụng MX thứ cấp, một hệ thống được lưu trữ lưu trữ email của nó trong trường hợp máy chủ thư thực sự bị hỏng.
  • Máy chủ thư thực sự hoạt động trở lại, MX phụ gửi email đến máy chủ thư đích.
  • Bạn bè của tôi tải email của anh ấy từ máy chủ mail của anh ấy.

Đó là một cấu hình khá phổ biến và khiến email bị trả lại khoảng 6 lần. Cuối cùng nó cũng đến nơi, nhưng trừ khi tất cả các máy chủ đó sử dụng STARTTLS hoặc mã hóa khác, tại một số điểm, nó sẽ không được mã hóa. Ngay cả với mã hóa truyền tải, quản trị viên của bất kỳ máy chủ nào trong số đó vẫn có thể đọc email. Nó được lưu trữ không được mã hóa trên các ổ đĩa cứng của họ trong khi nó chờ được gửi đến giai đoạn tiếp theo.

Có thể dễ dàng hơn nữa nếu bạn của tôi đã cài đặt email của mình để chuyển tiếp ở một nơi khác, điều này rất phổ biến nếu nhà cung cấp dịch vụ lưu trữ web của bạn cũng gửi email của bạn và bạn chuyển tiếp nó đến tài khoản gmail của bạn.

Nếu bạn lo lắng về việc mọi người đọc email của bạn, điều tốt nhất nên làm là mã hóa tin nhắn bằng cách sử dụng một cái gì đó như GPG, không dựa vào mã hóa truyền tải. Tất nhiên, điều này đòi hỏi người nhận email cũng đủ quan tâm để thiết lập GPG và trao đổi khóa.

Ban cho
nguồn
Cảm ơn về câu trả lời của bạn! Được chấp nhận cho rõ ràng (xin lỗi TomTom, nhưng bạn cũng rất tuyệt!). Một liên lạc tuyệt vời chỉ ra rằng các e-mail được lưu trữ trong bản rõ trên các máy chủ trung gian: Tôi không thấy STARTTLS là bất cứ điều gì khác ngoài việc bảo vệ chống nghe lén thụ động.
Thi hành
@Executifs không có hành vi phạm tội. Điều đó nói rằng: "statls như bất cứ điều gì khác" - một sự bảo vệ chống lại sự xâm nhập thụ động là rất quan trọng. Cả hai bên kiểm soát khá nhiều tất cả các máy chủ ở giữa (gửi rơle, rơle nhận) nhưng không có quyền kiểm soát đối với phương tiện dây. Trong thời đại ngày nay, nơi Obama và các quan chức khác đọc các email của cả thế giới để biết tin tức về bữa sáng (daramatization) mã hóa đường giữa các máy chủ là cực kỳ quan trọng.
TomTom
@TomTom Xin lỗi, có vẻ như nhận xét của tôi không rõ ràng. Ý tôi là, với tôi, STARTTLS chủ yếu là để bảo vệ chống lại các khả năng đánh chặn lớn và không phải là đôi mắt tò mò của quản trị viên (mà GPG sẽ là một giải pháp). Vì vậy, tôi đồng ý với bạn hoàn toàn về điều này.
Thi hành
7

Hãy thử rằng: Máy chủ bạn gửi không phải là máy chủ hoàn thành. đó là máy chủ cổng MY cho các email đến đang thực hiện một số công cụ chống thư rác tốt sau đó chuyển tiếp nó đến máy chủ thực.

Được thậm chí tốt hơn. Việc gửi máy chủ email bạn sử dụng không phải là công ty bạn sử dụng phải đối mặt với internet. Nó KHÔNG thực hiện tra cứu DNS mà chuyển tiếp tất cả các email đến một máy chủ cổng mà THEN gửi chúng đến người nhận cuối cùng. Đây không phải là một thiết lập hiếm trong các tổ chức lớn hơn.

Tôi duy trì một hệ thống như thế trong đó nhiều mạng chia sẻ một máy chủ cổng chung cho các email đến và đi. Các email đến được chuyển tiếp đến một trong nhiều máy chủ, tùy thuộc vào máy khách.

Trên trang web đến cũng có thể là máy chủ email thực sự bị hỏng. MX có thể sao lưu các mục sao lưu - và trong trường hợp mose, chúng sẽ chỉ đệm email và sau đó chuyển tiếp lại một lần nữa khi máy chủ thực sự có sẵn một lần nữa.

TomTom
nguồn
Tất cả những điều đó, cộng với bí danh.
NickW
3

Làm thế nào bạn phác thảo nó là khá nhiều cách nó hoạt động trên bảng.

Vẫn có các máy chủ thư trung gian, nhưng nhìn chung chúng là các máy chủ đối mặt công khai mà máy chủ nguồn của bạn kết nối. Máy chủ đó có thể chuyển tiếp tin nhắn đến một máy chủ nội bộ dựa trên bất kỳ số quy tắc nào, chẳng hạn như tên người dùng, thời gian, tải, nội dung (spam), v.v.

Tôi hy vọng rằng các tổ chức hoặc nhà cung cấp bên thứ ba này hỗ trợ các tính năng tương tự xuyên suốt. Thư của bạn không được chuyển qua máy chủ thư không xác định được nguồn hoặc đích, vì tất cả các trung gian nên được sở hữu hoặc quản lý bởi một bên đáng tin cậy.

David Houde
nguồn
Câu cuối cùng thậm chí không gần với sự thật; hãy thử dig mx insolvency.gsi.gov.ukmột trong vô số ví dụ về định tuyến thư qua các máy chủ thuộc sở hữu của cả nguồn và tổ chức đích. Hoặc gửi thư đến bất kỳ tên miền quân đoàn nào có thư của họ được xử lý bằng gmail.
MadHatter
2
Bạn nói đúng. Tôi nói sai rằng, và dự định nói rằng thư không nên được chuyển qua máy chủ thư của bên thứ ba không xác định trong khi quá cảnh đến đích cuối cùng. Rằng bất kỳ máy chủ thư trung gian nào nếu không thuộc sở hữu của nguồn hoặc đích, ít nhất là được biết và quản lý bởi một bên đáng tin cậy. Tôi đã chỉnh sửa câu trả lời, cảm ơn đã làm rõ.
David Houde
Những gì bạn có bây giờ gần hơn với cách tôi tin rằng tất cả đều hoạt động, vì vậy tôi đã loại bỏ downvote của mình.
MadHatter
Để thêm vào nhận xét của @ MadHatter, ai đó sử dụng dịch vụ thư bên ngoài như vậy cũng có thể quên đi việc áp đặt một số tính năng bảo mật khác (chẳng hạn như SPF).
Hagen von Eitzen
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.