假设我有这些记录:
- mail.somedomain:127.0.0.1
- mail.mailserverdomain:127.0.0.1
- MX 某些域: mail.某些域
MTA 连接mail.somedomain
以投递邮件somedomain
并获取所呈现的证书mail.mailserverdomain
,并且 MTA 呈现其主机名,如mail.mailserverdomain
中所示HELO
。
这是一个有效的 TLS 会话吗?或者这是否意味着证书的主机名有误(预期somedomain
或reverse.somedomain
)?
答案1
惊喜!对于与邮件服务器的 TLS 协商,通常根本不检查主题名称。邮件服务器之间的大部分加密都是完全机会性的,仅使用自签名证书,通常主题名称为 localhost。
不幸的是确实不可能做得更好比这更安全,因为有可能对连接进行中间人攻击,并阻止加密协商的发生。而且不可能阻止那直到 DNSSEC(或同等产品)完全部署并且每个人都需要其他人的正确证书,攻击才会停止。在我们退休之前,这种情况不太可能发生。
如果您的电子邮件必须端到端加密,则您需要自行加密。