MTA的TLS密码套件

Question

在配置邮件网关的TLS设置时，应该遵循与运行HTTPS服务相同的密码套件规则(更喜欢EDCHE/DHE，禁用SSLv3，而不是使用RC4等)。还是应该更多地关注与其他MTA的兼容性，以防止未加密的电子邮件发送？

在我看来，这是一种权衡。一方面，如果我只使用强密码套件，我将提高大多数传输的邮件的安全性，因为您不能将其降级为弱密码套件或SSLv3。但另一方面，我完全放弃了对某些邮件的加密，因为它们是未经加密发送的(例如，如果另一个MTA非常老，并且只支持RC4 )。

Answer 1

即使使用3 3DES或RC4的密码，攻击者也无法以适中的代价破解密码。即使是秘密部门也可能宁愿使用DNS MX欺骗，或者干脆从接收MTA的功能中删除STARTTLS，因为这比试图破解这些密码便宜得多。

因此，我建议您接受带有RC4和3 3DES的密码，以防对等MTA没有更好的密码，因为糟糕的加密肯定比纯文本好，而且在许多情况下也比根本不发送邮件好。当然，您应该只将这些弱密码放在列表的末尾，而更喜欢强密码。你不应该使用像出口密码那样的弱密码。

但是，如果您在安全性要求较高的环境中，应该将MTA配置为只使用强密码，并使TLS成为强制性的，也就是说，即使对等方似乎不支持TLS，也不会倒退到简单。您也应该保护自己免受MX欺骗，即强制执行DNSSec。除此之外，您最好还是在这样的环境中使用端到端加密(PGP、S/MIME)。

Answer 2

这是个好问题，我不确定有一个好答案。

因此有两种类型的攻击:主动攻击和被动攻击。对于被动攻击者来说，只要攻击需要某种流量修改/注入，破坏的协议就可以了。他们不能生成假证书并使用冲突的md5签名签名，因为作为被动攻击者，他们不能将它们注入流中。

主动攻击者可以对连接进行操作，例如使另一端的邮件服务器看起来完全不支持TLS。

因此，通常情况下，除非您想强制使用TLS并完全不允许普通连接，否则我认为您应该知道哪些协议是安全的，不受被动攻击者的攻击。或者至少是低于你的风险水平的攻击:例如，如果破解一个密码(比如1024位密钥的RSA )花费200万美元，而民族国家不是你担心的对手，这可能是可以接受的。

很抱歉，我没有时间找出哪些TLS版本和密码可以用来对付被动攻击，但我希望这会有所帮助。

Answer 3

我个人将启用强密码(例如，使用来自https://cipherli.st/的建议)。

RC4是有效破坏的(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2808)，因此启用它充其量是值得怀疑的(它可能保护不受临时观察者的影响)。

也就是说:你收到的邮件中有多少会受到影响？根据我自己的经验，这一论点与关于web浏览器的观点相似；偶尔也会有一些令人信服的理由来偏离高级加密方法，但默认的方法是不这样做。在我的例子中，我所关心的一封数量极少的邮件将会受到影响。

我知道MTA不是浏览器，图片也不太乐观，但我也怀疑图片并不像很多人想象的那么糟糕(托管邮件提供商的帮助)。

因此，总的来说，我会选择HTTPS方法，而不是支持低质量的密码(在某些情况下，这不适合于保护数据的工作)。