在 POP3 服务器上禁用 SMTP 身份验证是否存在安全风险?

在 POP3 服务器上禁用 SMTP 身份验证是否存在安全风险?

我为一位客户提供 IT 服务,该客户提供世界上最长时间的使用 Network Solutions 的 POP3 服务器来处理他们的电子邮件。

这次,我引入了 McAfee SaaS 电子邮件保护,为他们的电子邮件提供某种类型的安全和过滤。

事实证明 Network Solutions 的 POP3 服务与 McAfee 配合不佳。

本质上,在 McAfee 中,我提供了 SMTP 地址、端口号并测试连接。这样就行了。我将 MX 记录更改为 McAfee 想要的记录。这样就行了。

我的问题是 SMTP 身份验证。Network Solutions 需要这个。但是,McAfee 不提供任何传递身份验证的东西(当我向客户发送电子邮件时,它会从我那里发送到 McAfee 过滤系统,然后 McAfee 将电子邮件转交给 Network Solutions)。当 McAffe 转交电子邮件时,Network Solutions 会拒绝它,因为没有进行身份验证 - 我的电子邮件被拒绝并发回给我。

在与 McAfee 和 Network Solutions 进行多次讨论后,我们唯一可用的解决方案是禁用身份验证。这是在我将两个完整的域列入白名单以绕过身份验证之后。

在关闭 SMTP 身份验证之前,我很好奇安全风险是什么。如果计算机受到攻击,黑客/垃圾邮件发送者是否能够控制该计算机并随意发送数千封电子邮件?(因为关闭 SMTP 身份验证后,计算机(或者更像用户的 Outlook 外发服务器选项)不需要身份验证)。

我担心安全风险。Network Solutions 表示他们会关闭它,但警告我不要这么做。只是好奇其他人对此有何看法......

感谢您的交谈...

答案1

说得更严谨一点,POP3 服务器上不能启用或禁用 SMTP 身份验证。它们是完全独立的服务(尽管有一种非常烦人的配置,即 POP-before-SMTP,使用一个来验证另一个)。听起来你并没有过多谈论 POP3;POP3 上的无身份验证允许任何人认领任何用户的电子邮件,例如让每个邮箱都处于未锁定状态。无 SMTP 身份验证允许任何人将邮件存入任何回信地址以便投递。

您应该做的是将 SMTP 服务器配置为仅接受来自运行 McAfee 且过滤外发邮件的系统的电子邮件。然后,在 McAfee 过滤服务器上设置 SMTP 身份验证。这有点弱,因为有人可能会冒充 McAfee 服务器并以您的身份发送垃圾邮件;您必须采取安全措施(例如网络级身份验证等)。

如果您无法在 McAfee 过滤服务器上设置 SMTP 身份验证,因为它们的运行状况确实很糟糕并且不支持该身份验证,请设置一组额外的邮件服务器,将 McAfee 的软件配置为仅接受来自它们的邮件,并在它们上启用身份验证。

答案2

我只是对这个老问题做了一个简短的跟进,但 McAfee 不再为 POP3 电子邮件服务提供 SaaS 电子邮件保护,而且客户已经转向了提供自身安全性的托管电​​子邮件 - 所以我最初的问题现在已不相关(但我无法将其删除)。不过,还是要感谢所有回复的人。

答案3

您的客户目前正在使用 SMTP 通过 ISP 的 SMTP 服务发送电子邮件。请不要更改此设置,并且绝对不要关闭 SMTP 授权,除非您的客户想要帮助垃圾邮件发送者。

如果您的客户相信他们的员工不会发送垃圾邮件或病毒,那么您可以将他们的电子邮件客户端配置为直接通过 ISP smtp 地址发送,而不是通过 McAfee 过滤器发送。

发送到其服务器的传入邮件仍将通过 McAfee 进行过滤,这可能就是客户所担心的全部。

发出的邮件根本不会发往 McAfee。

如果您不再将电子邮件视为单一服务,而是将其视为发送邮件服务和接收邮件服务(这仍然有点过于简单),那么这更有意义。他们只需要过滤收到的邮件,而无需过滤发送的邮件。

相关内容