SMTP認証の欠如はユーザーにどのような影響を与えますか？

これがSMTPプロトコルの仕組みです...一部のSMTPサーバーで必要な認証は、権限のないユーザーがそれらのサーバーリソースを使用してメールを送信することを防ぐためにのみ使用されます。いずれの場合も、From:ヘッダーもReply to:ヘッダーも、認証済みの使用された名前を使用しませんが、クライアントアプリケーションによって準備されます。認証に使用される名前を使用してFrom:ヘッダーに入力するのは、ウェブメールサーバーのみです。

言い換えると、SMTPプロトコルを受け入れるサーバーで検証済みのアカウントを取得したら、偽造されたほとんどすべてのFrom:アドレスを使用するようにメーラー（Thunderbird、WindowsMailなど）を構成できます。慎重に構成されたサーバーでは、所有するドメインを使用する必要がありますが、アドレスの@より前の部分は制御されません（*）。

したがって、メールがデジタル署名されていない限り、送信者のアドレスを信頼することはできません。また、セキュリティの観点から、学校の構成は許容範囲です。とにかく、誰かがメールサーバーを使用して偽造offensiveメールを送信する場合、サーバーは通常、メールの送信に使用されたIPアドレスをログに保存します。 LANでは、通常、ログインログのヘルプを使用して、だれが責任を持っているかを見つけるだけで十分です...

反対に、メールは受信者に属しているため、readingメールは常に認証を必要とします。

（*）一部の企業サーバーは、企業ディレクトリを使用して、Fromアドレスが認証済みユーザーに対して有効であることを制御しますが、これは高度なセキュリティ対策です。

あなたのコメントに基づいて、次のケースについて説明します。

• ユーザーは認証とTLSなしでメールを送信できます
• ユーザーはメールを読むためにPOP/IMAPサーバーに対して認証する必要があります。 "ただし、受信メールはSSLを使用し、認証が必要です。"の説明は、外部ユーザーがメールの送信を承認する必要があることを示していますが、コメントに基づいて、実際にはメールクライアントでのメールの読み取りです。 。

ここでの設定は実際には珍しいことではありませんが、セキュリティへの影響は、表示されていない実装の詳細によって異なります。

• メールサーバーはどのユーザーであるかを認識できず、ユーザーにメールを提供できないため、ユーザーがメールを読み取るために認証する必要があるのは通常のことです。認証時にパスワードを保護するために、認証の使用時にTLSを使用することも正常です。
• また、ローカルネットワーク内のほとんどのトラフィックは、このネットワークが信頼されているため暗号化されないことも、企業などの信頼された設定では一般的です。特定のケースでこの信頼がどれほど正当化されるかは不明です。最悪の場合、誰かがSMTPサーバーへのトラフィックを傍受したり、変更したりする可能性があります。ただし、これが当てはまる場合は、他にも多くの問題が発生している可能性があります。スニッフィングと変更の機能はSMTPだけに限定されているわけではなく、暗号化を使用しないネットワーク内の多くのプロトコルすべてに影響するためです（つまり、プレーンHTTP、ファイル転送）。 、ネットワーク共有）。
• 電子メールを送信するための認証は行われないため、送信者を偽装する可能性があります。このなりすましは通常、同じドメイン内の異なるメールアドレスに制限されています。また、ネットワーク管理者は、送信者のデバイスのIPアドレスを取得し、これを特定のユーザーアカウントに関連付けることができるため、おそらくこのなりすましを検出できます。したがって、悪意のあるスプーフィングの試みは通常、悪意のあるユーザーまで簡単に追跡できます。

学校が無線LANを所有している場合、またはLAN内でLinuxおよびroot権限を持つマシンを入手できる場合は、ネットワークトラフィックを傍受したり、中間者で遊ぶことが可能です。

認証に属するもう1つの質問は、この攻撃を電子メールのなりすましと呼びます。資格情報を使用してネットワークにログインする必要がない限り、誰もが匿名です。 SMTP認証にwlan-credentialsを使用するネットワークを見てきました。攻撃が可能な場合は、教師としてメールを送信することもできます。