web-dev-qa-db-ja.com

SMTPトランスポートに自己署名証明書を使用しても問題ありませんか?

「使用しても問題ない」とは、次のことを意味します。

  • mTAエージェントは私のサーバーからメールを受信して​​いますメールを拒否
  • そうでない場合、彼らは他の種類の悪い扱いを私のメールに送信しますか?

...または暗号化されていない電子メールをそのまま使用する方が良いでしょうか?

7

自己署名証明書を使用してMTAを2年間実行しましたが、実際の証明書が十分に安くなり、それ以上煩わしくならなくなり、署名されていない証明書が原因で1回も拒否されませんでした。時間。スパムとしてマークされたメールについても、一度も不満はありませんでした。どちらかと言えば、TLSを使用すると、非スパミングの専門家であると見なされることがよくあります。

私の意見では、サードパーティの署名付き証明書の代金を支払うかどうかにかかわらず、可能であればSMTP TLSを有効にすることは間違いなく価値があります。

編集コメントへの応答:誰かが受信メールを制限することを選択できなかったわけではありません。私はそれに遭遇したことがない、すべてです。サードパーティの署名付き証明書は、中間者攻撃が発生していないことを証明するのに役立ちます。しかし、それは現時点でMTAの世界では深刻な問題ではないようです。それが変化し始めると、人々は署名された証明書を要求し始めることがよくわかります。

脅威に対処するためのセキュリティが存在するため、脅威モデルが変更された場合、それに応じて、健全で対応するセキュリティ応答の範囲が変化します。

7
MadHatter

MadHatterが言ったように、現時点では、自己署名証明書を使用した暗号化は、SMTPリレーについて話している場合、他の多くの短い時間のSMTPに比べて実際には一歩進んでいます。

ただし、いくつかの欠点がありますが、期待したようなものではありません。最も重要なのは、SMTPクライアントが暗号化を制限していることです。 SMTP暗号化を好まない、失敗することが多い一般的なビジネス問題のための既製のソリューションに配置された多くの小さなSMTPクライアントがあります。したがって、メールクライアントが組み込まれた標準ソフトウェアを使用している場合は、切り替える前にそれらを確認してください。

それ以外にも、メールがスパムとしてマークされることに懸念がある場合は、SPFとDKIMの設定を検討してください。それは非常に役立ちます。

3
bjanssen

そうではありません。

認証局はSMTPには役に立たない。サーバーは証明書を検証しません。できません。信頼できる認証局の標準化されたセットはなく、証明書に問題があるときに何をすべきかを評価する人間がいないため、認証局は無視されます。 SMTPからSMTPを保護する唯一の方法は、DANE for SMTPを使用することです。

完全な答えは ここ です。また wiki も役立ちます。