এসএমটিপি-র জন্য এনক্রিপশন প্রয়োগ করা কি ভাল ধারণা (এখনও)?

আমি ইমেল প্রেরণ এবং গ্রহণ করার সময়, যদি সম্ভব হয় তবে টিএলএস ব্যবহার করার জন্য বর্তমানে একটি ইমেল সার্ভার চালাচ্ছি।

আপনি যখন এই সম্পর্কে ডকুমেন্টেশনে পড়েন তখন টিএলএস প্রয়োগ করার এবং ইমেলের সরল পাঠ্য সংক্রমণ গ্রহণ না করার বিকল্পও রয়েছে। এটি আপনাকে হুঁশিয়ারিও দেয় যে কিছু মেল সার্ভারগুলি এখনও এনক্রিপশন সমর্থন করতে পারে না এবং এনক্রিপশন প্রয়োগ করা এই সার্ভারগুলিকে ব্লক করতে পারে।

তবে এটি কি এখনও এমন একটি বিষয় যা আমাদের ভাবা উচিত বা এটি নিরাপদ যে এনক্রিপশন প্রয়োগ করা আর সমস্যা হবে না?

ইতিমধ্যে এমন কোনও বড় সরবরাহকারী আছেন যিনি ইতিমধ্যে এটি করছেন বা আপনি আজকাল সেরা অনুশীলনকে কী বিবেচনা করেন?

ব্যবহারিক সমস্যাটি হ'ল প্রতিটি এসএমটিপি-অনুগত (আরএফসি বেশ পুরানো) সার্ভারটি আপনার সার্ভারে টিএলএস বলতে পারে না, তাই আপনি কিছু ইমেল বার্তাগুলি গ্রহণ করতে মিস করতে পারেন।

এর সাথে দার্শনিক সমস্যাটি হ'ল আপনার সার্ভারে ইমেলটি আসার পরে (বা তার আগে) ইমেলটি কীভাবে রিলে হয় তা বলা অসম্ভব।

এর অর্থ হ'ল ইমেইলটি ইতিমধ্যে একটি রিলে মাধ্যমে প্লেইন-পাঠ্যে প্রেরণ করা হয়েছে।

তাদের ইমেলের বিষয়বস্তু সুরক্ষিত সম্পর্কে গুরুতর যে কোনও ব্যক্তিকে আসলে শরীরটি এনক্রিপ্ট করা উচিত। এনক্রিপশনটি এন-রুটের সাথে এটি সর্বদা প্রশংসনীয় এটি ইতিমধ্যে প্লেইন-পাঠ্যে প্রেরণ করা হয়েছে।

সুতরাং, এসএমটিপি স্তরে এনক্রিপশন প্রয়োগকারী আপনার প্রশ্নের উত্তর দেওয়া সম্ভবত অর্থহীন, আপনার ইমেল হারিয়ে যাওয়ার সম্ভাবনা বাড়িয়ে তোলে এবং কোনও গ্যারান্টিযুক্ত উপকারী বেতন নেই is

সম্পাদনা করুন: এটি ইমেল জমা না দিয়ে রিলে করার উদ্দেশ্যে এসএমটিপি প্রয়োগকারীকে বোঝায় । মেল সাবমিশনগুলিতে এনক্রিপশন কার্যকর করা উচিত যেহেতু এসএমটিপি কথোপকথন (আসল ইমেল নয়) সম্ভবত প্রমাণীকরণের শংসাপত্রগুলি অন্তর্ভুক্ত করে।

না

আরএফসি 821 এর বয়স 33 বছর। আপনি হবে STARTTLS notsupporting প্রোগ্রাম দ্বারা রিলে ইমেল পাবেন। কখনও কখনও তারা স্টাব ইমেল প্রেরক (যেমন অভ্যন্তরীণ স্ক্রিপ্টস) হবে, কখনও কখনও সম্পূর্ণ পুরানো সিস্টেম, টিএলএস অক্ষম করেছে / সংকলিত নেই, পর্যাপ্ত এনট্রোপি ব্যতীত সিস্টেমগুলি…

আমি এতদিন আগে বহির্মুখী ইমেলগুলি ব্যর্থ না হয়ে প্রত্যক্ষ করেছি কারণ প্রাপ্তির সমাপ্তি এটি কেবলমাত্র টিএলএস-এর মাধ্যমে এসএমটিপিকে কনফিগার করেছে ured প্রেরকের ক্ষেত্রে এটি একটি সমস্যা ছিল (এটি সেই কনফিগারেশনটি ব্যবহার করা উচিত হয়নি) তবে এটি ঘটেছে তা দেখায়।

আমি কেবল ম্যানুয়ালি কনফিগার করা আইপি ঠিকানাগুলি থেকে আগত বার্তাগুলিকে সীমাবদ্ধ করব would যদি আপনার ক্রেডিট কার্ড প্রসেসর STARTTLS আরম্ভ করতে ব্যর্থ হয়, আপনি সম্ভবত সংযোগটি বাতিল করতে পছন্দ করেন (এবং স্থানীয় প্রশাসককে পৃষ্ঠায় সারণি করুন যাতে তিনি তাদের সতর্ক করতে পারেন!) রথিনে (সম্ভাব্য সংবেদনশীল) ডেটা এনক্রিপ্ট না করে পেয়ে যান। আউটবাউন্ড বার্তাগুলির জন্য, আপনি যদি আগে হোস্টের সাথে STARTTLS ব্যবহার করে সংযুক্ত হন, তবে আপনি সম্ভবত এটি নিরাপদভাবে না করতে চাইবেন, পরিবর্তে এটি একটি সম্ভাব্য আপস হিসাবে বিবেচনা করুন। আপনার কাছে সর্বদা ব্যবহৃত-শুরু STARTTLS হোস্টগুলির যেমন জিমেইল বা ইয়াহু-এর একটি তালিকাও থাকতে পারে।

এখানে https://www.eff.org/starttls-e Everybody প্রজেক্টে এসএমটিপি সার্ভারের একটি তালিকা সরবরাহ করা হয়েছে যার জন্য আপনি (উচিত?) আত্মবিশ্বাসের সাথে স্টার্টলসের ব্যবহার প্রয়োগ করতে পারেন।

এনক্রিপশন-অক্ষম সমবয়সীদের ইমেল প্রত্যাখ্যান করা সম্পূর্ণ নিষ্ক্রিয় এবং সম্ভবত সক্রিয়ভাবে ক্ষতিকারক।

আপনার সার্ভারটি যে কোনও পিয়ারের সাথে এটি সুবিধাজনক এনক্রিপশন করার জন্য সেট আপ করা রয়েছে ততক্ষণ আপনি উভয় বিশ্বের সেরা পাবেন: এটি উপলভ্য হলে এনক্রিপশন এবং এটি না থাকলে প্লেটেক্সটে ইমেল করুন।

যতক্ষণ না এমন সার্ভার রয়েছে যারা এনক্রিপশন সমর্থন করে না, এটিকে জারি করার অর্থ হ'ল তারা আপনার সাথে কথা বলতে পারে না; এটা খারাপ. সবাই যখন এটি সমর্থন করে, সুবিধাবাদী এবং বাধ্যতামূলক এনক্রিপশনের মধ্যে কোনও পার্থক্য নেই।

এবং অন্যরা যেমন উল্লেখ করেছে, তারের সাথে এনক্রিপশন এবং শেষ থেকে শেষের এনক্রিপশন দুটি সম্পূর্ণ ভিন্ন জিনিস, বিভিন্ন হুমকির মডেলগুলিকে সম্বোধন করে। দুজনকে গুলিয়ে ফেলবেন না।

এটি একটি নীতি বিষয়।

সাধারণত যখন টিএলএস ইনবাউন্ড এবং আউটবাউন্ডের জন্য প্রয়োগ করা হয়, তখন এটি সীমিত ডোমেনগুলির জন্য করা হয় যা পক্ষগুলি প্রয়োজনীয়তা পূরণে সম্মত হয় (উদাহরণস্বরূপ, ব্যবসায়িক অংশীদারদের তাদের কোম্পানির মধ্যে সমস্ত মেল এনক্রিপ্ট করার চুক্তি থাকতে পারে)।

এই জাতীয় চুক্তি না হলে, প্রয়োগকারী মোডটি চালু করবেন না।

না, এটি খুব খারাপ ধারণা।

প্রকৃতপক্ষে, এটি দেখা যাচ্ছে, বেশিরভাগ STARTTLS সার্ভার / ক্লায়েন্টরা কোনও টিএলএস সংযোগটি আলোচনায় ব্যর্থ হলে স্টার্টটিএলএস ব্যতীত পুনরায় চেষ্টা করার কোনও ধরণের অ্যালগরিদম প্রয়োগ করে না।

যেমন, বিকল্প হিসাবে বিজ্ঞাপন STARTTLS ইতিমধ্যে ইমেলগুলি পাওয়ার (এবং প্রেরণ) করার সম্ভাবনাগুলি হ্রাস করে!

কেবল অনুসন্ধান করুন এবং আপনি দেখতে পাবেন যে অনেকে * .প্রোটেকশন.আউটলুক.কম. ক্লাস্টার দ্বারা পরিচালিত মাইক্রোসফ্ট আউটলুক ডোমেনগুলিতে কোনও ইমেল প্রেরণ করতে পারছে না:

টিএলএস ব্যবহার করার সময় মাইক্রোসফ্ট থেকে সেন্ডমেল বার্তাগুলি প্রত্যাখ্যাত

কারণ: 403 4.7.0 টিএলএস হ্যান্ডশেক ব্যর্থ হয়েছে

উপরোক্ত দুটি পোস্টে উপস্থাপিত বিষয়গুলির সংক্ষিপ্তসার হিসাবে:

• আউটলুক দ্বারা পরিচালিত, STARTTLS সহ বা ব্যতীত অন্য কোনও হোস্টকে কোনও মেল প্রেরণ করতে পারে,
• ক্লায়েন্টের শংসাপত্র ছাড়াই এবং আউটলুকে STARTTLS ছাড়াই মেল পাঠাতে পারে,
• বা শূন্য দৈর্ঘ্যের ক্লায়েন্ট শংসাপত্র সহ,
• তবে মাইক্রোসফ্ট পছন্দ করে না এমন শংসাপত্রের সাথে নয় এবং ব্যর্থতার পরে, গ্রাহকরা (ভাল, ক্লায়েন্ট মোডে অভিনয় করা সার্ভারগুলি) প্রাপকের সার্ভার STARTTLS বিজ্ঞাপন দিলে STARTTLS ছাড়াই বার্তাটি পুনরায় পাঠানোর চেষ্টা করবেন না!

তেমনি, যখন আপনার হোস্ট সার্ভার হিসাবে কাজ করে, আপনি STARTTLS সক্ষম করার সিদ্ধান্ত নিলে আপনার নিয়ন্ত্রণের বাইরেও একইরকম পরিস্থিতি দেখা দিতে পারে - যখন ক্লায়েন্ট সার্ভার দেখায় যে সার্ভার মোডে আপনার সার্ভার STARTTLS অফার করে, তারা টিএলএসের সাথে আলোচনার চেষ্টা করে, তবে যদি আলোচনায় ব্যর্থ হয় , তারা কেবল অপেক্ষা করে, এবং আবার একই পদক্ষেপগুলি আবার চেষ্টা করুন, বার্তা প্রেরকের কাছে ফিরে না আসা পর্যন্ত ব্যর্থ হতে থাকুন!

এবং এটি STARTTLS জমিতে বিভিন্ন ডোমেনের সাথে প্রায়শই ঘন ঘন ঘটে!

দুঃখের বিষয়, অতীতে আমি যতটা STARTTLS সমর্থক হিসাবে থাকতাম, এখন আমি খুব হতাশ হয়েছি যে আমি সুযোগ-সুবিধাবাদী এনক্রিপশন বলে মনে করছিলাম তার ঝুঁকিমুক্ত বিজ্ঞাপনের দ্বারা আমাকে বিভ্রান্ত করা হয়েছিল।

আপনি কেবল STARTTLS প্রয়োজন হবে না, আপনি আন্তঃযোগিতা নিশ্চিত করতে চাইলে এটি সম্পূর্ণরূপে অক্ষম করাও বুদ্ধিমান হতে পারে।

সুবিধাবাদী টিএলএস ব্যবহার করার ধারণার উপর আমার একমত হতে হবে। যদিও, আমার কিছু ধারণাও যুক্ত করতে পারে। কিছু সম্ভবত পরামর্শগুলি দ্বারা বিঘ্নিত হবে, যদিও আমার পরামর্শগুলি এখানে হালকাভাবে এবং যথাযথ বিবেচনা ছাড়াই করা হয়নি, রায় দেওয়ার আগে, আমি আপনাকে অনুরোধ করছি যে আপনি সংযুক্ত লিঙ্কটি থেকে সম্পূর্ণ আলোচনাটি পড়ুন।

সুবিধাবাদী টিএলএস ব্যবহার করা সর্বোত্তম সমাধানটি দূর-দূরত্বে। এর বিরুদ্ধে যুক্তি হিসাবে এমআইটিএম কোণটি একটি লাল হেরিং। সর্বোপরি, এমএইচ যেমনটি একটি মন্তব্যে উল্লেখ করেছে, এমনকি টিএলএস সংযোগ সহ একটি "আইনী" এসএমটিপিও এমআইটিএম হতে পারে এবং বিপুল সংখ্যাগরিষ্ঠের সাথে মিলিত বিপুল সংখ্যাগরিষ্ঠ মেইল ​​ক্লায়েন্টের শংসাপত্র বৈধ করতে বিরক্ত না করায় শেষ ব্যবহারকারী কোনও বুদ্ধিমান হতে পারে না টিটিএস করার বাইরে এমটিএ'র মধ্যে স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করা হচ্ছে (কমপক্ষে যদি আপনি ডিএনএসএসইসি এবং টিএলএসএ / ড্যান ব্যবহার করেন না)) এটি এবং সম্ভবত অন্যান্য কারণগুলির ফলস্বরূপ, এটি এমনকি তর্কযোগ্য যে আপনি এবং বাকি বিশ্বের উভয়ই ড্যান / টিএলএসএ এবং ডিএনএসইসি বাস্তবায়ন করেছে, যে সুবিধাবাদী টিএলএস চলাকালীন বেনামে ডিফাই-হেলম্যান (পিএফএস ব্যবহার করার সময়) সক্ষম করে না রাখাই ভাল। কমপক্ষে আংশিকভাবে যদি না হয় তবে বেশিরভাগ ক্ষেত্রেই এটি এখনও নৈমিত্তিক পর্যবেক্ষকের বিরুদ্ধে ট্র্যাফিক সুরক্ষা এনক্রিপ্ট করবে to এই কনফিগারেশনের আরও সমর্থনে (আমার চেয়ে আরও বিস্তৃত ব্যাখ্যা সহ) দয়া করে একটি পোস্টফিক্স ফোরামে এই পোস্টে ভিক্টর দুখভনির মন্তব্য দেখুন:http://postfix.1071664.n5.nabble.com/Disabling-Anonymous-Diffie-Hellman-td67965.html

কেন অন্যের পরামর্শের বিষয়ে কেন ভিক্টরের পরামর্শ নেওয়া যেতে পারে, ঠিক আছে, তিনি টিএলএস কোড পাশাপাশি ডিএনএসএসইসি, টিএলএসএ / ডিএনই কোড লিখেছিলেন পোস্টফিক্স এমটিএর পাশাপাশি দুটি ডিএনএসইসি-তে আইইটিএফ খসড়া লিখেছেন এবং টিএলএসএ / ড্যান এই হিসাবে, আমি বলব যে এই বিষয়ে তাঁর কথাগুলি বেশ ওজন বহন করে, সম্ভবত বেশিরভাগের চেয়ে বেশি।

আশাকরি এটা সাহায্য করবে.

ইমেল বিপণনের দৃষ্টিকোণ থেকে, টিএলএস ব্যবহার ভাল অনুশীলন এবং সুরক্ষিত যখন আপনি জানেন যে এটি সরবরাহের পুরো চেইনের মাধ্যমে প্রয়োগ করা হয়েছে। তবে সুরক্ষা যদি আপনার শীর্ষস্থানীয় প্রয়োজন হয় তবে ইমেল প্রেরণের আগে নিজেই এনক্রিপ্ট করা সর্বাধিক সুরক্ষিত বিকল্প (উদাহরণস্বরূপ পিজিপি সহ)।