এসএমটিপি-র জন্য এনক্রিপশন প্রয়োগ করা কি ভাল ধারণা (এখনও)?


36

আমি ইমেল প্রেরণ এবং গ্রহণ করার সময়, যদি সম্ভব হয় তবে টিএলএস ব্যবহার করার জন্য বর্তমানে একটি ইমেল সার্ভার চালাচ্ছি।

আপনি যখন এই সম্পর্কে ডকুমেন্টেশনে পড়েন তখন টিএলএস প্রয়োগ করার এবং ইমেলের সরল পাঠ্য সংক্রমণ গ্রহণ না করার বিকল্পও রয়েছে। এটি আপনাকে হুঁশিয়ারিও দেয় যে কিছু মেল সার্ভারগুলি এখনও এনক্রিপশন সমর্থন করতে পারে না এবং এনক্রিপশন প্রয়োগ করা এই সার্ভারগুলিকে ব্লক করতে পারে।

তবে এটি কি এখনও এমন একটি বিষয় যা আমাদের ভাবা উচিত বা এটি নিরাপদ যে এনক্রিপশন প্রয়োগ করা আর সমস্যা হবে না?

ইতিমধ্যে এমন কোনও বড় সরবরাহকারী আছেন যিনি ইতিমধ্যে এটি করছেন বা আপনি আজকাল সেরা অনুশীলনকে কী বিবেচনা করেন?

উত্তর:


34

ব্যবহারিক সমস্যাটি হ'ল প্রতিটি এসএমটিপি-অনুগত (আরএফসি বেশ পুরানো) সার্ভারটি আপনার সার্ভারে টিএলএস বলতে পারে না, তাই আপনি কিছু ইমেল বার্তাগুলি গ্রহণ করতে মিস করতে পারেন।

এর সাথে দার্শনিক সমস্যাটি হ'ল আপনার সার্ভারে ইমেলটি আসার পরে (বা তার আগে) ইমেলটি কীভাবে রিলে হয় তা বলা অসম্ভব।

এর অর্থ হ'ল ইমেইলটি ইতিমধ্যে একটি রিলে মাধ্যমে প্লেইন-পাঠ্যে প্রেরণ করা হয়েছে।

তাদের ইমেলের বিষয়বস্তু সুরক্ষিত সম্পর্কে গুরুতর যে কোনও ব্যক্তিকে আসলে শরীরটি এনক্রিপ্ট করা উচিত। এনক্রিপশনটি এন-রুটের সাথে এটি সর্বদা প্রশংসনীয় এটি ইতিমধ্যে প্লেইন-পাঠ্যে প্রেরণ করা হয়েছে।

সুতরাং, এসএমটিপি স্তরে এনক্রিপশন প্রয়োগকারী আপনার প্রশ্নের উত্তর দেওয়া সম্ভবত অর্থহীন, আপনার ইমেল হারিয়ে যাওয়ার সম্ভাবনা বাড়িয়ে তোলে এবং কোনও গ্যারান্টিযুক্ত উপকারী বেতন নেই is

সম্পাদনা করুন: এটি ইমেল জমা না দিয়ে রিলে করার উদ্দেশ্যে এসএমটিপি প্রয়োগকারীকে বোঝায় । মেল সাবমিশনগুলিতে এনক্রিপশন কার্যকর করা উচিত যেহেতু এসএমটিপি কথোপকথন (আসল ইমেল নয়) সম্ভবত প্রমাণীকরণের শংসাপত্রগুলি অন্তর্ভুক্ত করে।


7
আমি মনে করি না এটি সেরা উত্তর। এটি ডান নীচে লাইন উপসংহারে পৌঁছেছে, তবে ভুল কারণে। এটি "নিখুঁতকে ভালের শত্রু হতে দেয়" ধরণের যুক্তি দেখানো। আমি মনে করি এর চেয়ে ভাল উত্তরটি হ'ল যদি আপনার এনক্রিপশন প্রয়োজন হয় তবে আপনি কিছু বৈধ ইমেলটি প্রবেশ করা থেকে বিরত করবেন (কারণ কিছু এসএমটিপি সার্ভারগুলি এনক্রিপ্ট করতে পারে না)। যদি এটি সেই ফ্যাক্টরটির জন্য না হয়, তবে এনক্রিপশন প্রয়োগ করা কার্যকর হবে , যদিও আপনি তালিকাভুক্ত সমস্ত কারণে এটি নিখুঁত নয় - এটি নিখুঁত না হলেও এটি কোনও কিছুর চেয়ে ভাল।
DW

আমি কেবল সাব্পেফেকশন যুক্ত করে সিদ্ধির সাথে দ্বিমত পোষণ করি; তবুও আমি আরএফসির সাথে সঙ্গতিপূর্ণ সার্ভারগুলির সম্ভাব্য-প্রযুক্তিগত-অসম্পূর্ণতার উপর জোর দেওয়ার জন্য টিএলএস সমর্থন না করার উত্তরে একটি সম্পাদনা জমা দিয়েছি।
অ্যালেক্স মাজারিওল

আপনার উত্তরের জন্য ধন্যবাদ! আমার সার্ভারটি পরবর্তী সার্ভারে মেলটি প্রেরণের পরে কী ঘটেছিল তা নিয়ে প্রথমে আমি ভাবিনি বা যেমন আপনি বলেছিলেন, বার্তাটি আমার কাছে পৌঁছানোর আগেই "ইতিমধ্যে" ছিল যেখানে। অবশ্যই এনক্রিপশন প্রয়োগ করার কোনও ধারণা নেই, যদি গ্রহণকারী পক্ষ এটিটিকে সরল পাঠ্যে প্রেরণ করে (সম্ভবত একই সংস্থার সাবসারভারের কাছে তবে ইন্টারনেটের মাধ্যমেও)।
comfreak

আমি এই উত্তরটিকে গ্রহণযোগ্য হিসাবে বেছে নিয়েছি কারণ এটি সর্বোত্তমভাবে পরিষ্কার করে দেয় যে আমার সার্ভারে এনক্রিপশন প্রয়োগ করা প্রেরকের কাছ থেকে প্রাপকের কাছে কেবলমাত্র আমার সার্ভার থেকে পরের বার্তায় একটি নিরাপদ / এনক্রিপ্ট করা স্থানান্তরের গ্যারান্টি দিবে না।
comfreak

আমি মনে করি এই উত্তরটি ভাল, তবে এনক্রিপশনটি এখনও উল্লেখ করা যায়নি যে কেবলমাত্র একটি সীমিত সংখ্যক ক্ষেত্রেই আপনাকে বোকা বানানোর জন্য প্রেরকের ক্লিয়ারটেক্সট বার্তাটি বাধা দেওয়ার জন্য কেউ যথেষ্ট পরিমাণে যাবে। আপনি যদি সিআইএ / এনএসএ থেকে লুকিয়ে থাকেন তবে নিশ্চিত হন যে এটি আপনাকে সাহায্য করবে না। তবে এর চেয়ে ভাল আর কী হবে, এনক্রিপশন প্রয়োগ করে যাতে কোনও এটি সুস্পষ্ট আগ্রহের সাথে পড়তে / প্রেরকদের বার্তাটি আটকানো এবং তৃতীয় পক্ষের ততক্ষণ আপনার লুকিয়ে রাখার বা আপনার সমস্ত বার্তা এনএসএ সার্ভারে সঞ্চিত করার সিদ্ধান্ত না নেয় সেদিকে এটি লুকিয়ে রাখে যাতে করে একদিন, তারা কেবল শুরু করতে পারে না ...
মমোমো

20

না

আরএফসি 821 এর বয়স 33 বছর। আপনি হবে STARTTLS notsupporting প্রোগ্রাম দ্বারা রিলে ইমেল পাবেন। কখনও কখনও তারা স্টাব ইমেল প্রেরক (যেমন অভ্যন্তরীণ স্ক্রিপ্টস) হবে, কখনও কখনও সম্পূর্ণ পুরানো সিস্টেম, টিএলএস অক্ষম করেছে / সংকলিত নেই, পর্যাপ্ত এনট্রোপি ব্যতীত সিস্টেমগুলি…

আমি এতদিন আগে বহির্মুখী ইমেলগুলি ব্যর্থ না হয়ে প্রত্যক্ষ করেছি কারণ প্রাপ্তির সমাপ্তি এটি কেবলমাত্র টিএলএস-এর মাধ্যমে এসএমটিপিকে কনফিগার করেছে ured প্রেরকের ক্ষেত্রে এটি একটি সমস্যা ছিল (এটি সেই কনফিগারেশনটি ব্যবহার করা উচিত হয়নি) তবে এটি ঘটেছে তা দেখায়।

আমি কেবল ম্যানুয়ালি কনফিগার করা আইপি ঠিকানাগুলি থেকে আগত বার্তাগুলিকে সীমাবদ্ধ করব would যদি আপনার ক্রেডিট কার্ড প্রসেসর STARTTLS আরম্ভ করতে ব্যর্থ হয়, আপনি সম্ভবত সংযোগটি বাতিল করতে পছন্দ করেন (এবং স্থানীয় প্রশাসককে পৃষ্ঠায় সারণি করুন যাতে তিনি তাদের সতর্ক করতে পারেন!) রথিনে (সম্ভাব্য সংবেদনশীল) ডেটা এনক্রিপ্ট না করে পেয়ে যান। আউটবাউন্ড বার্তাগুলির জন্য, আপনি যদি আগে হোস্টের সাথে STARTTLS ব্যবহার করে সংযুক্ত হন, তবে আপনি সম্ভবত এটি নিরাপদভাবে না করতে চাইবেন, পরিবর্তে এটি একটি সম্ভাব্য আপস হিসাবে বিবেচনা করুন। আপনার কাছে সর্বদা ব্যবহৃত-শুরু STARTTLS হোস্টগুলির যেমন জিমেইল বা ইয়াহু-এর একটি তালিকাও থাকতে পারে।

এখানে https://www.eff.org/starttls-e Everybody প্রজেক্টে এসএমটিপি সার্ভারের একটি তালিকা সরবরাহ করা হয়েছে যার জন্য আপনি (উচিত?) আত্মবিশ্বাসের সাথে স্টার্টলসের ব্যবহার প্রয়োগ করতে পারেন।


3
উত্তরের জন্য এবং সেই লিঙ্কটি পোস্ট করার জন্য ধন্যবাদ! এটি একটি মেন-ইন-মধ্য-আক্রমণের সমস্যাটি একটি এনক্রিপ্ট করা কথোপকথনে সংযোগকে হ্রাস করার পক্ষে সমাধান করার পক্ষে একটি ভাল পদ্ধতির বলে মনে হচ্ছে।
comfreak

11

এনক্রিপশন-অক্ষম সমবয়সীদের ইমেল প্রত্যাখ্যান করা সম্পূর্ণ নিষ্ক্রিয় এবং সম্ভবত সক্রিয়ভাবে ক্ষতিকারক।

আপনার সার্ভারটি যে কোনও পিয়ারের সাথে এটি সুবিধাজনক এনক্রিপশন করার জন্য সেট আপ করা রয়েছে ততক্ষণ আপনি উভয় বিশ্বের সেরা পাবেন: এটি উপলভ্য হলে এনক্রিপশন এবং এটি না থাকলে প্লেটেক্সটে ইমেল করুন।

যতক্ষণ না এমন সার্ভার রয়েছে যারা এনক্রিপশন সমর্থন করে না, এটিকে জারি করার অর্থ হ'ল তারা আপনার সাথে কথা বলতে পারে না; এটা খারাপ. সবাই যখন এটি সমর্থন করে, সুবিধাবাদী এবং বাধ্যতামূলক এনক্রিপশনের মধ্যে কোনও পার্থক্য নেই।

এবং অন্যরা যেমন উল্লেখ করেছে, তারের সাথে এনক্রিপশন এবং শেষ থেকে শেষের এনক্রিপশন দুটি সম্পূর্ণ ভিন্ন জিনিস, বিভিন্ন হুমকির মডেলগুলিকে সম্বোধন করে। দুজনকে গুলিয়ে ফেলবেন না।


আমি যুক্তি দিয়ে বলব যে উভয় পৃথিবীর
সেরাটি

@ ব্যবহারকারী 2813274 আমি সম্মত, এবং এটি হয়। আপনার শিরোনাম পরীক্ষা করুন; তারা আপনাকে দেখাবে যে ট্রান্সমিশন চেইনের কোনও প্রদত্ত পদক্ষেপ এনক্রিপশন সহ বা না ছাড়াই সম্পাদিত হয়েছিল।
ম্যাডহ্যাটার 18:51

@ ম্যাডহ্যাটার যদি না আগে সেই শিরোনামগুলি আপনার আগে হপ দ্বারা সম্পূর্ণরূপে জাল না হয়ে থাকে।
ট্রিগার করুন

8
সেখানে হয় সুবিধাবাদী এবং বাধ্যতামূলক এনক্রিপশন মধ্যে একটি পার্থক্য। সক্রিয় এমআইটিএমের পক্ষে প্রায়শই সুবিধাবাদী এনক্রিপশন ব্যাহত করা সম্ভব হয়, যার ফলে শেষ পয়েন্টগুলি কোনও এনক্রিপশনে ফিরে যায় না, যা পর্যবেক্ষণ করা যায়। বাধ্যতামূলক এনক্রিপশন সহ, সংযোগটি বাদ দেওয়া হবে, যার ফলে পরিষেবাটি অস্বীকার হবে তবে গোপনীয়তার লঙ্ঘন হবে না।
সিজেএম

4
@cjm তাই হুমকি মডেল সম্পর্কে আমার বক্তব্য। আপনি যদি এমআইটিএম আক্রমণ থেকে রক্ষা করার জন্য গুরুত্ব সহকারে চেষ্টা করছেন তবে কেবলমাত্র শেষ থেকে শেষের এনক্রিপশনই সহায়তা করতে পারে। একা এসএমটিপি এনক্রিপশনের উপর নির্ভর করা অর্থহীন; একটি পরিশীলিত এমআইটিএম কেবল আপনার সার্ভার হিসাবে মাস্ক্রেড করবে, তারপরে মেলটি আপনাকে পড়ার পরে রিলে করবে। অবশ্যই, আপনার সার্ভারে সঠিকভাবে স্বাক্ষরিত শংসাপত্র থাকতে পারে (যা আশ্চর্যজনকভাবে বিরল) তবে আপনি নিয়ন্ত্রণ করতে পারবেন না যে সিস্টেমটি আপনাকে প্রেরণ করছে তার প্রয়োজন আছে , সুতরাং একটি এমআইটিএম আক্রমণ যেমন কোনও এনক্রিপ্টড সংযোগে আপনি রাখেন এমন কোনও প্রয়োজনীয়তা সত্ত্বেও সফল হবে control ।
ম্যাডহ্যাটার 18:44

10

এটি একটি নীতি বিষয়।

সাধারণত যখন টিএলএস ইনবাউন্ড এবং আউটবাউন্ডের জন্য প্রয়োগ করা হয়, তখন এটি সীমিত ডোমেনগুলির জন্য করা হয় যা পক্ষগুলি প্রয়োজনীয়তা পূরণে সম্মত হয় (উদাহরণস্বরূপ, ব্যবসায়িক অংশীদারদের তাদের কোম্পানির মধ্যে সমস্ত মেল এনক্রিপ্ট করার চুক্তি থাকতে পারে)।

এই জাতীয় চুক্তি না হলে, প্রয়োগকারী মোডটি চালু করবেন না।


2

না, এটি খুব খারাপ ধারণা।

প্রকৃতপক্ষে, এটি দেখা যাচ্ছে, বেশিরভাগ STARTTLS সার্ভার / ক্লায়েন্টরা কোনও টিএলএস সংযোগটি আলোচনায় ব্যর্থ হলে স্টার্টটিএলএস ব্যতীত পুনরায় চেষ্টা করার কোনও ধরণের অ্যালগরিদম প্রয়োগ করে না।

যেমন, বিকল্প হিসাবে বিজ্ঞাপন STARTTLS ইতিমধ্যে ইমেলগুলি পাওয়ার (এবং প্রেরণ) করার সম্ভাবনাগুলি হ্রাস করে!

কেবল অনুসন্ধান করুন এবং আপনি দেখতে পাবেন যে অনেকে * .প্রোটেকশন.আউটলুক.কম. ক্লাস্টার দ্বারা পরিচালিত মাইক্রোসফ্ট আউটলুক ডোমেনগুলিতে কোনও ইমেল প্রেরণ করতে পারছে না:

টিএলএস ব্যবহার করার সময় মাইক্রোসফ্ট থেকে সেন্ডমেল বার্তাগুলি প্রত্যাখ্যাত

কারণ: 403 4.7.0 টিএলএস হ্যান্ডশেক ব্যর্থ হয়েছে

উপরোক্ত দুটি পোস্টে উপস্থাপিত বিষয়গুলির সংক্ষিপ্তসার হিসাবে:

  • আউটলুক দ্বারা পরিচালিত, STARTTLS সহ বা ব্যতীত অন্য কোনও হোস্টকে কোনও মেল প্রেরণ করতে পারে,
  • ক্লায়েন্টের শংসাপত্র ছাড়াই এবং আউটলুকে STARTTLS ছাড়াই মেল পাঠাতে পারে,
  • বা শূন্য দৈর্ঘ্যের ক্লায়েন্ট শংসাপত্র সহ,
  • তবে মাইক্রোসফ্ট পছন্দ করে না এমন শংসাপত্রের সাথে নয় এবং ব্যর্থতার পরে, গ্রাহকরা (ভাল, ক্লায়েন্ট মোডে অভিনয় করা সার্ভারগুলি) প্রাপকের সার্ভার STARTTLS বিজ্ঞাপন দিলে STARTTLS ছাড়াই বার্তাটি পুনরায় পাঠানোর চেষ্টা করবেন না!

তেমনি, যখন আপনার হোস্ট সার্ভার হিসাবে কাজ করে, আপনি STARTTLS সক্ষম করার সিদ্ধান্ত নিলে আপনার নিয়ন্ত্রণের বাইরেও একইরকম পরিস্থিতি দেখা দিতে পারে - যখন ক্লায়েন্ট সার্ভার দেখায় যে সার্ভার মোডে আপনার সার্ভার STARTTLS অফার করে, তারা টিএলএসের সাথে আলোচনার চেষ্টা করে, তবে যদি আলোচনায় ব্যর্থ হয় , তারা কেবল অপেক্ষা করে, এবং আবার একই পদক্ষেপগুলি আবার চেষ্টা করুন, বার্তা প্রেরকের কাছে ফিরে না আসা পর্যন্ত ব্যর্থ হতে থাকুন!

এবং এটি STARTTLS জমিতে বিভিন্ন ডোমেনের সাথে প্রায়শই ঘন ঘন ঘটে!

দুঃখের বিষয়, অতীতে আমি যতটা STARTTLS সমর্থক হিসাবে থাকতাম, এখন আমি খুব হতাশ হয়েছি যে আমি সুযোগ-সুবিধাবাদী এনক্রিপশন বলে মনে করছিলাম তার ঝুঁকিমুক্ত বিজ্ঞাপনের দ্বারা আমাকে বিভ্রান্ত করা হয়েছিল।

আপনি কেবল STARTTLS প্রয়োজন হবে না, আপনি আন্তঃযোগিতা নিশ্চিত করতে চাইলে এটি সম্পূর্ণরূপে অক্ষম করাও বুদ্ধিমান হতে পারে।


2

সুবিধাবাদী টিএলএস ব্যবহার করার ধারণার উপর আমার একমত হতে হবে। যদিও, আমার কিছু ধারণাও যুক্ত করতে পারে। কিছু সম্ভবত পরামর্শগুলি দ্বারা বিঘ্নিত হবে, যদিও আমার পরামর্শগুলি এখানে হালকাভাবে এবং যথাযথ বিবেচনা ছাড়াই করা হয়নি, রায় দেওয়ার আগে, আমি আপনাকে অনুরোধ করছি যে আপনি সংযুক্ত লিঙ্কটি থেকে সম্পূর্ণ আলোচনাটি পড়ুন।

সুবিধাবাদী টিএলএস ব্যবহার করা সর্বোত্তম সমাধানটি দূর-দূরত্বে। এর বিরুদ্ধে যুক্তি হিসাবে এমআইটিএম কোণটি একটি লাল হেরিং। সর্বোপরি, এমএইচ যেমনটি একটি মন্তব্যে উল্লেখ করেছে, এমনকি টিএলএস সংযোগ সহ একটি "আইনী" এসএমটিপিও এমআইটিএম হতে পারে এবং বিপুল সংখ্যাগরিষ্ঠের সাথে মিলিত বিপুল সংখ্যাগরিষ্ঠ মেইল ​​ক্লায়েন্টের শংসাপত্র বৈধ করতে বিরক্ত না করায় শেষ ব্যবহারকারী কোনও বুদ্ধিমান হতে পারে না টিটিএস করার বাইরে এমটিএ'র মধ্যে স্ব-স্বাক্ষরিত শংসাপত্রগুলি ব্যবহার করা হচ্ছে (কমপক্ষে যদি আপনি ডিএনএসএসইসি এবং টিএলএসএ / ড্যান ব্যবহার করেন না)) এটি এবং সম্ভবত অন্যান্য কারণগুলির ফলস্বরূপ, এটি এমনকি তর্কযোগ্য যে আপনি এবং বাকি বিশ্বের উভয়ই ড্যান / টিএলএসএ এবং ডিএনএসইসি বাস্তবায়ন করেছে, যে সুবিধাবাদী টিএলএস চলাকালীন বেনামে ডিফাই-হেলম্যান (পিএফএস ব্যবহার করার সময়) সক্ষম করে না রাখাই ভাল। কমপক্ষে আংশিকভাবে যদি না হয় তবে বেশিরভাগ ক্ষেত্রেই এটি এখনও নৈমিত্তিক পর্যবেক্ষকের বিরুদ্ধে ট্র্যাফিক সুরক্ষা এনক্রিপ্ট করবে to এই কনফিগারেশনের আরও সমর্থনে (আমার চেয়ে আরও বিস্তৃত ব্যাখ্যা সহ) দয়া করে একটি পোস্টফিক্স ফোরামে এই পোস্টে ভিক্টর দুখভনির মন্তব্য দেখুন:http://postfix.1071664.n5.nabble.com/Disabling-Anonymous-Diffie-Hellman-td67965.html

কেন অন্যের পরামর্শের বিষয়ে কেন ভিক্টরের পরামর্শ নেওয়া যেতে পারে, ঠিক আছে, তিনি টিএলএস কোড পাশাপাশি ডিএনএসএসইসি, টিএলএসএ / ডিএনই কোড লিখেছিলেন পোস্টফিক্স এমটিএর পাশাপাশি দুটি ডিএনএসইসি-তে আইইটিএফ খসড়া লিখেছেন এবং টিএলএসএ / ড্যান এই হিসাবে, আমি বলব যে এই বিষয়ে তাঁর কথাগুলি বেশ ওজন বহন করে, সম্ভবত বেশিরভাগের চেয়ে বেশি।

আশাকরি এটা সাহায্য করবে.


0

ইমেল বিপণনের দৃষ্টিকোণ থেকে, টিএলএস ব্যবহার ভাল অনুশীলন এবং সুরক্ষিত যখন আপনি জানেন যে এটি সরবরাহের পুরো চেইনের মাধ্যমে প্রয়োগ করা হয়েছে। তবে সুরক্ষা যদি আপনার শীর্ষস্থানীয় প্রয়োজন হয় তবে ইমেল প্রেরণের আগে নিজেই এনক্রিপ্ট করা সর্বাধিক সুরক্ষিত বিকল্প (উদাহরণস্বরূপ পিজিপি সহ)।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.