E-mail siklus hidup setelah dikirim

13

Saya sedang menguji konfigurasi STARTTLS server surat saya ketika saya menemukan halaman ini: https://starttls.info/about . Kutipan berikut ini membingungkan saya:

Ketika Anda mengirim email melalui server surat keluar Anda, email itu berpotensi akan melakukan beberapa lompatan antara server surat yang berbeda sebelum mencapai tujuannya. Semua server perantara ini harus memiliki dukungan STARTTLS yang kuat, agar pesan Anda tidak terpapar pada satu atau beberapa tahap perjalanannya.

Menurut pemahaman saya, proses pengiriman e-mail adalah sebagai berikut:

  1. Server email melakukan pencarian DNS untuk mendapatkan MX nama domain penerima.
  2. Server email memulai koneksi ke IP yang diperoleh pada port 25 (SMTP).
  3. Jika kedua server mendukung enkripsi oportunistik, koneksi aman dibuat.
  4. E-mail dikirimkan ke penerima (EHLO, MAIL DARI :, RCPT KE :, DATA,.)

Sekarang di mana semua ini ada kesempatan untuk mengirim email ke beberapa server?

email 
Eksekutif
sumber
1
Ambil email yang diterima, lihat header. Setiap baris "Diterima:" menunjukkan sistem yang dilewati email. Mungkin ada beberapa sistem pada host yang sama (misalnya filter spam atau pemindai virus), sebagian besar dapat dikenali dari alamat "localhost". Tetapi sisanya adalah semua host yang menangani email itu. Setidaknya sejauh yang sesuai dengan RFC dan tinggalkan salah satu tajuk "Terima:".
Dubu

Jawaban:

19

Mail secara teratur terpental di antara server. Misalnya, jika saya mengirim email ke teman, itu mungkin:

  • Pergi dari komputer saya ke server email saya sendiri (mudah-mudahan dienkripsi)
  • Server email saya mengirimnya ke smarthost, karena dikonfigurasi untuk tidak mengirim email secara langsung
  • Smarthost mengirimkannya ke data MX dari domain destintion, yang kebetulan merupakan filter spam yang dihosting
  • Filter spam mencoba mengirimkannya ke server surat sungguhan target, tetapi tidak dapat dijangkau, jadi ia menggunakan MX sekunder, sistem yang dihosting yang menyimpan emailnya seandainya server surat sungguhan sedang down.
  • Server email asli muncul kembali, MX sekunder mengirim email ke server email target.
  • Teman saya mengunduh emailnya dari server suratnya.

Itu konfigurasi yang cukup umum, dan menyebabkan email terpental sekitar 6 kali. Ini akhirnya mencapai tujuan, tetapi kecuali semua server tersebut menggunakan STARTTLS atau enkripsi lain, pada beberapa titik itu tidak akan dienkripsi. Bahkan dengan enkripsi transport, admin dari salah satu server itu masih bisa membaca email. Ini disimpan tidak terenkripsi pada hard drive mereka sementara menunggu untuk dikirim ke tahap selanjutnya.

Mungkin akan lebih mudah lagi jika teman saya mengatur surelnya untuk diteruskan ke tempat lain, yang umum jika penyedia hosting web Anda juga mengerjakan surel Anda, dan Anda meneruskannya ke akun gmail Anda.

Jika Anda khawatir tentang orang yang membaca email Anda, hal terbaik yang harus dilakukan adalah mengenkripsi pesan menggunakan sesuatu seperti GPG, bukan bergantung pada enkripsi transportasi. Tentu saja, ini mengharuskan orang yang menerima email juga cukup peduli untuk mengatur GPG dan bertukar kunci.

Hibah
sumber
Terima kasih atas jawaban Anda! Diterima untuk kejelasan (maaf TomTom, tapi milikmu juga hebat!). Sentuhan yang bagus menunjukkan bahwa e-mail disimpan dalam plaintext di server perantara: Saya tidak melihat STARTTLS sebagai hal lain selain pertahanan melawan penyadapan pasif.
Eksekutif
@ Eksekutif tidak tersinggung. Yang mengatakan: "statls sebagai yang lain" - pertahanan terhadap eavasdropping pasif sangat penting. Kedua belah pihak mengontrol hampir semua server di antara (mengirim relay, relay penerima) tetapi tidak memiliki kontrol atas media kawat. Di masa sekarang, di mana Obama dan pejabat lainnya membaca email seluruh dunia untuk berita sarapan pagi (daramatisasi) mengenkripsi jalan antara server adalah hal yang sangat kritis.
TomTom
@TomTom Maaf, sepertinya komentar saya tidak jelas. Saya bermaksud bahwa bagi saya, STARTTLS terutama merupakan pertahanan terhadap kemampuan intersepsi besar-besaran dan tidak menyampaikan mata yang mengintip administrator (yang GPG akan menjadi solusi). Jadi saya setuju dengan Anda sepenuhnya tentang ini.
Eksekutif
7

Coba itu: Server yang Anda kirim bukan yang selesai. itu adalah server gateway MY untuk email masuk yang melakukan beberapa hal anti spam yang bagus kemudian meneruskannya ke server nyata.

Mendapat lebih baik. Mengirim server email yang Anda gunakan bukanlah yang digunakan perusahaan Anda menghadapi internet. Ini TIDAK melakukan pencarian DNS tetapi meneruskan semua email ke server gateway yang KEMUDIAN mengirimkannya ke penerima akhir. Ini bukan pengaturan yang langka di organisasi yang lebih besar.

Saya memelihara sistem seperti itu di mana banyak jaringan berbagi server gateway umum untuk email masuk dan keluar. Email yang masuk diteruskan ke salah satu dari beberapa server, tergantung pada klien.

Di situs yang masuk mungkin juga server email yang sebenarnya sedang down. MX dapat memiliki entri cadangan - dan dalam beberapa kasus ini hanya akan buffer email dan kemudian meneruskannya lagi setelah server nyata tersedia lagi.

TomTom
sumber
Semua itu, ditambah alias.
NickW
3

Bagaimana Anda menguraikannya cukup banyak cara kerjanya di seluruh papan.

Masih ada server surat perantara, tetapi umumnya mereka adalah server menghadap publik yang terhubung dengan server sumber Anda. Server itu dapat menyampaikan pesan ke server internal berdasarkan sejumlah aturan, seperti nama pengguna, waktu, memuat, konten (spam), dll.

Saya berharap bahwa organisasi atau penyedia pihak ketiga ini mendukung fitur yang sama di seluruh. Email Anda tidak boleh transit melalui server email yang tidak dikenal ke sumber atau tujuan, karena semua perantara harus dimiliki atau dikelola oleh pihak tepercaya.

David Houde
sumber
Kalimat terakhir itu bahkan tidak mendekati benar; coba dig mx insolvency.gsi.gov.uksalah satu dari banyak contoh perutean email melalui server yang dimiliki oleh organisasi sumber maupun tujuan. Atau kirim email ke domain legiun mana pun yang surelnya ditangani oleh gmail.
MadHatter
2
Anda benar. Saya mengutarakannya dengan buruk, dan bermaksud mengatakan bahwa surat itu tidak boleh dialihkan melalui server surat pihak ketiga yang tidak dikenal saat dalam perjalanan ke tujuan akhir. Bahwa setiap server email perantara jika tidak dimiliki oleh sumber atau tujuan, setidaknya diketahui dan dikelola oleh pihak yang dipercaya. Saya sudah mengedit jawabannya, terima kasih atas klarifikasi.
David Houde
Apa yang Anda miliki sekarang jauh lebih dekat dengan bagaimana saya percaya semuanya bekerja, jadi saya telah menghapus downvote saya.
MadHatter
Untuk menambahkan komentar @ MadHatter, seseorang yang menggunakan layanan surat eksternal juga dapat lupa tentang penerapan beberapa fitur keamanan lainnya (seperti SPF).
Hagen von Eitzen
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.