私の学校は生徒にメールアドレスを提供しています。メールサーバーに接続するために、送信メールサーバーの認証は必要ありません。そのため、ユーザー名やパスワードは不要で、SSL/TLSは使用されません(ポート25)。ただし、受信メールはSSLを使用しており、認証が必要です。
メールのセキュリティについてはあまり詳しくありません。これはユーザーにどのようなリスクをもたらしますか?誰でも簡単にメールアドレスを偽造できると思います。しかし、メッセージが第三者によって簡単に傍受されて赤くなるのはなぜでしょうか?スパムリレーに使用できることは知っていますが、正当なユーザーがどのように侵害される可能性があるかについては、もっと心配しています。
必要に応じて、キャンパスのインターネットからのメールに接続しません。
これがSMTPプロトコルの仕組みです...一部のSMTPサーバーで必要な認証は、権限のないユーザーがそれらのサーバーリソースを使用してメールを送信することを防ぐためにのみ使用されます。いずれの場合も、From:
ヘッダーもReply to:
ヘッダーも、認証済みの使用された名前を使用しませんが、クライアントアプリケーションによって準備されます。認証に使用される名前を使用してFrom:
ヘッダーに入力するのは、ウェブメールサーバーのみです。
言い換えると、SMTPプロトコルを受け入れるサーバーで検証済みのアカウントを取得したら、偽造されたほとんどすべてのFrom:
アドレスを使用するようにメーラー(Thunderbird、WindowsMailなど)を構成できます。慎重に構成されたサーバーでは、所有するドメインを使用する必要がありますが、アドレスの@
より前の部分は制御されません(*)。
したがって、メールがデジタル署名されていない限り、送信者のアドレスを信頼することはできません。また、セキュリティの観点から、学校の構成は許容範囲です。とにかく、誰かがメールサーバーを使用して偽造offensiveメールを送信する場合、サーバーは通常、メールの送信に使用されたIPアドレスをログに保存します。 LANでは、通常、ログインログのヘルプを使用して、だれが責任を持っているかを見つけるだけで十分です...
反対に、メールは受信者に属しているため、readingメールは常に認証を必要とします。
(*)一部の企業サーバーは、企業ディレクトリを使用して、Fromアドレスが認証済みユーザーに対して有効であることを制御しますが、これは高度なセキュリティ対策です。
あなたのコメントに基づいて、次のケースについて説明します。
ここでの設定は実際には珍しいことではありませんが、セキュリティへの影響は、表示されていない実装の詳細によって異なります。
学校が無線LANを所有している場合、またはLAN内でLinuxおよびroot権限を持つマシンを入手できる場合は、ネットワークトラフィックを傍受したり、中間者で遊ぶことが可能です。
認証に属するもう1つの質問は、この攻撃を電子メールのなりすましと呼びます。資格情報を使用してネットワークにログインする必要がない限り、誰もが匿名です。 SMTP認証にwlan-credentialsを使用するネットワークを見てきました。攻撃が可能な場合は、教師としてメールを送信することもできます。