TOR 是否会破坏电子邮件传输加密的 TLS 来收集用户凭证(安全漏洞)?

TOR 是否会破坏电子邮件传输加密的 TLS 来收集用户凭证(安全漏洞)?

当连接到 SMTP 发送邮件时,邮件服务器启动加密 TLS 协议的 EHLO 响应显示当通过 tor 而不是纯 TCP 发送时从 STARTTLS 修改为 AUTH PLAIN。

因此,只有在使用 tor 时,电子邮件帐户凭据才能以容易拦截的纯文本形式发送。

基本问题:Thunderbird 突然(大约在 2015 年 8 月)无法再通过 tor 使用 STARTTLS 连接到 postfix/smtp,抱怨 STARTTLS 不会被宣传。

另一个 MUA 可以通过纯 TCP 中的 STARTTLS 连接到 postfix/smtp,无需 tor,没有任何问题。

postfix 被配置为宣传 STARTTLS。

所以我通过 telnet 连接了 postfix/smtp 两次,

  • 直接从本地主机或者另一个远程 IP,
  • 通过代理链 (proxychains) 连接 tor。

直接从本地主机或远程 IP 进行 telnet:

> telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 x.y.com ESMTP
EHLO a.b.com
250-x.y.com
250-PIPELINING
250-SIZE 10485760
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

在普通的 TCP 中,STARTTLS 被通告 OK,无论是来自本地主机的连接还是来自远程的连接。

后果:MUA(邮件用户代理)启动 TLS 会话以将凭据和加密的电子邮件发送到服务器,中间人(rsp. tor 出口节点)只能看到加密流。

使用代理链通过 tor 进行 telnet:

> proxychains telnet x.y.com 25

ProxyChains-3.1 (http://proxychains.sf.net)                                                                                                                   
|DNS-response|:     
....                                                                   
|S-chain|-<>-127.0.0.1:9050-<><>-X.X.X.X.-<><>-OK
|DNS-response| x.y.com is XX.XX.XX.XX
Trying XX.XX.XX.XX....
|S-chain|-<>-127.0.0.1:9050-<><>-XX.XX.XX.XX:25-<><>-OK
Connected to x.y.com.
Escape character is '^]'.
EHLO a.b.com
220 csds.local ESMTP
250-csds.local
250-8BITMIME
250-AUTH PLAIN LOGIN
250-XCLIENT NAME HELO
250-XFORWARD NAME ADDR PROTO HELO
250-ENHANCEDSTATUSCODES
250 
quit
221 Bye
Connection closed by foreign host.

我通过 tor 得到了不同的答案,STARTTLS 广告不见了。取而代之的是 250-AUTH PLAIN LOGIN。

后果:MUA 要么抱怨 TLS 不可行,并促使用户回退到纯文本凭证,要么自动回退到纯文本身份验证和传输,在后一种情况下最终不会通知用户,从而泄露用户凭证。

在这两种情况下,电子邮件内容和用户凭证都会以明文形式透露给中间人(也就是 tor 出口节点)。

我尝试使用不同的 tor 身份进行此操作。

要确定此行为是否确实是 Tor 网络的功能,必须排除任何其他来源。这些来源主要是 Postfix、Proxychains 以及我的服务器上运行的任何软件。

如果是 tor,罪魁祸首很可能是出口服务器。那么:proxychains 使用的 tor 出口服务器会随着 tor 身份的改变而改变吗?

但我首先怀疑是后缀的行为不当。

我如何确定此行为是否依赖于 postfix 配置或 tor 的功能、过滤 STARTTLS?

或者是其他东西?

如果是后缀,我该如何修复它?

答案1

Tor 本身将阻止 SMTP,您得到的是一个假的 SMTP 服务器(请注意 csds.local 而不是您的实际主机名/FQDN),它可能由出口节点运行以阻止邮件。

相关内容