web-dev-qa-db-ja.com

SMTP認証の欠如はユーザーにどのような影響を与えますか?

私の学校は生徒にメールアドレスを提供しています。メールサーバーに接続するために、送信メールサーバーの認証は必要ありません。そのため、ユーザー名やパスワードは不要で、SSL/TLSは使用されません(ポート25)。ただし、受信メールはSSLを使用しており、認証が必要です。

メールのセキュリティについてはあまり詳しくありません。これはユーザーにどのようなリスクをもたらしますか?誰でも簡単にメールアドレスを偽造できると思います。しかし、メッセージが第三者によって簡単に傍受されて赤くなるのはなぜでしょうか?スパムリレーに使用できることは知っていますが、正当なユーザーがどのように侵害される可能性があるかについては、もっと心配しています。

必要に応じて、キャンパスのインターネットからのメールに接続しません。

2
Celeritas

これがSMTPプロトコルの仕組みです...一部のSMTPサーバーで必要な認証は、権限のないユーザーがそれらのサーバーリソースを使用してメールを送信することを防ぐためにのみ使用されます。いずれの場合も、From:ヘッダーもReply to:ヘッダーも、認証済みの使用された名前を使用しませんが、クライアントアプリケーションによって準備されます。認証に使用される名前を使用してFrom:ヘッダーに入力するのは、ウェブメールサーバーのみです。

言い換えると、SMTPプロトコルを受け入れるサーバーで検証済みのアカウントを取得したら、偽造されたほとんどすべてのFrom:アドレスを使用するようにメーラー(Thunderbird、WindowsMailなど)を構成できます。慎重に構成されたサーバーでは、所有するドメインを使用する必要がありますが、アドレスの@より前の部分は制御されません(*)。

したがって、メールがデジタル署名されていない限り、送信者のアドレスを信頼することはできません。また、セキュリティの観点から、学校の構成は許容範囲です。とにかく、誰かがメールサーバーを使用して偽造offensiveメールを送信する場合、サーバーは通常、メールの送信に使用されたIPアドレスをログに保存します。 LANでは、通常、ログインログのヘルプを使用して、だれが責任を持っているかを見つけるだけで十分です...

反対に、メールは受信者に属しているため、readingメールは常に認証を必要とします。


(*)一部の企業サーバーは、企業ディレクトリを使用して、Fromアドレスが認証済みユーザーに対して有効であることを制御しますが、これは高度なセキュリティ対策です。

1
Serge Ballesta

あなたのコメントに基づいて、次のケースについて説明します。

  • ユーザーは認証とTLSなしでメールを送信できます
  • ユーザーはメールを読むためにPOP/IMAPサーバーに対して認証する必要があります。 "ただし、受信メールはSSLを使用し、認証が必要です。"の説明は、外部ユーザーがメールの送信を承認する必要があることを示していますが、コメントに基づいて、実際にはメールクライアントでのメールの読み取りです。 。

ここでの設定は実際には珍しいことではありませんが、セキュリティへの影響は、表示されていない実装の詳細によって異なります。

  • メールサーバーはどのユーザーであるかを認識できず、ユーザーにメールを提供できないため、ユーザーがメールを読み取るために認証する必要があるのは通常のことです。認証時にパスワードを保護するために、認証の使用時にTLSを使用することも正常です。
  • また、ローカルネットワーク内のほとんどのトラフィックは、このネットワークが信頼されているため暗号化されないことも、企業などの信頼された設定では一般的です。特定のケースでこの信頼がどれほど正当化されるかは不明です。最悪の場合、誰かがSMTPサーバーへのトラフィックを傍受したり、変更したりする可能性があります。ただし、これが当てはまる場合は、他にも多くの問題が発生している可能性があります。スニッフィングと変更の機能はSMTPだけに限定されているわけではなく、暗号化を使用しないネットワーク内の多くのプロトコルすべてに影響するためです(つまり、プレーンHTTP、ファイル転送)。 、ネットワーク共有)。
  • 電子メールを送信するための認証は行われないため、送信者を偽装する可能性があります。このなりすましは通常、同じドメイン内の異なるメールアドレスに制限されています。また、ネットワーク管理者は、送信者のデバイスのIPアドレスを取得し、これを特定のユーザーアカウントに関連付けることができるため、おそらくこのなりすましを検出できます。したがって、悪意のあるスプーフィングの試みは通常、悪意のあるユーザーまで簡単に追跡できます。
0
Steffen Ullrich

学校が無線LANを所有している場合、またはLAN内でLinuxおよびroot権限を持つマシンを入手できる場合は、ネットワークトラフィックを傍受したり、中間者で遊ぶことが可能です。

認証に属するもう1つの質問は、この攻撃を電子メールのなりすましと呼びます。資格情報を使用してネットワークにログインする必要がない限り、誰もが匿名です。 SMTP認証にwlan-credentialsを使用するネットワークを見てきました。攻撃が可能な場合は、教師としてメールを送信することもできます。

0
Miroka