Поддержка SSL/TLS при подключении (SMTPS) или SSL/TLS после STARTTLS
действительно варьируется от одного сервера к другому, в зависимости от программного обеспечения и того, как они были настроены.
Основное преимущество SSL/TLS при подключении заключается в том, что он не требует никаких изменений в протоколе приложения. На самом деле вы можете обернуть соединение, используя что-то вроде stunnel
с каждой стороны.
Основное преимущество SSL/TLS после STARTTLS
заключается в том, что это можно сделать на том же порту. Еще одним преимуществом может быть возможность размещения нескольких имен хостов (заменяя необходимость указания имени сервера на уровне TLS), но я не уверен, что это когда-либо использовалось для SMTP-серверов.
STMPS (SSL/TLS при подключении) не имеет официальной спецификации и использует номер порта, для которого он не зарегистрирован (465). Это также устарело, в теории. Тем не менее, некоторые серверы могут его поддерживать (например, Exim) и смогут поддерживать оба, если они в состоянии это сделать: служба хостинга будет решать, что настраивать.
Если вы пишете клиент и уже имеете поддержку STARTTLS
, поддержка SSL/TLS при подключении также должна быть довольно дешевой. Это, безусловно, хорошая идея, чтобы поддерживать оба, так как они будут использоваться более широким кругом пользователей (если я правильно помню, в какой-то момент Gmail поддерживал только SMTPS, и это также может быть полезно в случае брандмауэра, который будет блокировать только один из портов).
Оба могут предлагать одинаковые уровни безопасности, если так или иначе используется SSL/TLS (и выполняется надлежащая проверка сертификата, включая имя хоста).
Обычно существует некоторая путаница в отношении разницы между SSL и TLS. По какой-то причине кажется, что ряд реализаций программного обеспечения электронной почты не осознали, что самым важным словом в «STARTTLS» является «START», а не TLS (с точки зрения режима подключения и выбора протокола). Эта путаница, к сожалению, распространилась на некоторые параметры конфигурации программного обеспечения (даже в популярных почтовых клиентах) и, таким образом, в документации провайдера. Ожидайте, что ваши пользователи будут сбиты с толку.
Какой бы режим вы ни хотели поддерживать, убедитесь, что он не имеет "Использовать TLS, если доступно", который будет возвращаться к обычному обмену, если SSL/TLS недоступен: это открывает соединения для атак MITM.
person
Bruno
schedule
16.11.2012