在邮件服务器上检查哪个 DNS 名称的 TLS?

在邮件服务器上检查哪个 DNS 名称的 TLS?

假设我有这些记录:

  • mail.somedomain:127.0.0.1
  • mail.mailserverdomain:127.0.0.1
  • MX 某些域: mail.某些域

MTA 连接mail.somedomain以投递邮件somedomain并获取所呈现的证书mail.mailserverdomain,并且 MTA 呈现其主机名,如mail.mailserverdomain中所示HELO

这是一个有效的 TLS 会话吗?或者这是否意味着证书的主机名有误(预期somedomainreverse.somedomain)?

答案1

惊喜!对于与邮件服务器的 TLS 协商,通常根本不检查主题名称。邮件服务器之间的大部分加密都是完全机会性的,仅使用自签名证书,通常主题名称为 localhost。

不幸的是确实不可能做得更好比这更安全,因为有可能对连接进行中间人攻击,并阻止加密协商的发生。而且不可能阻止直到 DNSSEC(或同等产品)完全部署并且每个人都需要其他人的正确证书,攻击才会停止。在我们退休之前,这种情况不太可能发生。

如果您的电子邮件必须端到端加密,则您需要自行加密。

相关内容