Tag Archives: smtp

自建 Mail System 的難度

在 Hacker News 上的「Ask HN: Is it possible to run your own mail server for personal use?」這篇道出了現在自建 mail system 的難度。作者遇到信件常常被各大 mail 服務歸類成 spam: The problem is making sure my mail is not marked as spam by the major MTAs out … Continue reading

Posted in Computer, Mail, Murmuring, Network, Spam | Tagged , , , , , , , , , , , , | 2 Comments

Gmail 的 SMTP 將拔掉對 SSLv3 與 RC4 的支援

Gmail 的 SMTP 決定在近期內拔掉 SSLv3 與 RC4 了:「Disabling support for SSLv3 and RC4 for Gmail SMTP in 30 days」。 Gmail 的 SMTP 應該是 Google 少數還支援 SSLv3 與 RC4 的服務?總算是要拔了...

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , , | Leave a comment

Gmail 將會提示沒有支援 STARTTLS 的信箱

Gmail 界面將會提示不支援 STARTTLS 的信箱:「Making email safer for you」。 先確認 msa.hinet.net 的 MX record: ;; ANSWER SECTION: msa.hinet.net. 86174 IN MX 0 msa-smtp-mx1.hinet.net. msa.hinet.net. 86174 IN MX 0 msa-smtp-mx2.hinet.net. 以及不支援 STARTTLS (在 EHLO 後不會出現 STARTTLS 選項): $ t msa-smtp-mx1.hinet.net 25 Trying … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , | Leave a comment

Gmail 將會針對沒有加密傳輸收到的信件標示警告

前陣子在「STARTTLS 的不完整性以及大規模監控電子郵件」提到現有的標準無法確保 ESMTP 一定會啟用 STARTTLS。所以 Google 正在跟 M3AAWG 研究標準來保護這類攻擊: First, we found regions of the Internet actively preventing message encryption by tampering with requests to initiate SSL connections. To mitigate this attack, we are working closely with partners through the … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , | Leave a comment

STARTTLS 的不完整性以及大規模監控電子郵件

在「Don’t count on STARTTLS to automatically encrypt your sensitive e-mails」這邊提到了 STARTTLS 的問題,引用「Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security」這篇論文的說明。 SMTP 裡 STARTTLS 的設計雖然可以加密,但仲所皆知,可以阻擋 EHLO 回應結果避免建立 STARTTLS 連線,而讓發送端改用傳統未加密的 SMTP 傳輸。而研究發現其實目前就有大規模的這種監控行為: 可以看到突尼西亞的監控情況遠超過想像... 目前的想法是發展一套類似 HSTS 的 Trust … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , , , , , , | 2 Comments

把 SMTP 的 SSL certfiticate 弄起來...

網站的 SSL certificate 弄過很多次了,想說來測看看 MX host 的部份。弄好後就會像這樣,這是 Varnish 的 mailing list: Received: from project.varnish-software.com (project.varnish-software.com [194.31.39.164]) (using TLSv1 with cipher AES256-SHA (256/256 bits)) (No client certificate requested) by home.gslin.org (Postfix) with ESMTPS id 9C2F568009A for ; Mon, 21 Sep 2015 … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , | 2 Comments

用 Require-Recipient-Valid-Since (RRVS) 解決帳號失效的問題

在「Facebook Yahoo Require-Recipient-Valid-Since SMTP Extension」這篇看到 Require-Recipient-Valid-Since (RRVS) 變成 Proposed Standard 了:「The Require-Recipient-Valid-Since Header Field and SMTP Service Extension」(RFC 7293)。 起因是從 2013 年的「yourname@yahoo.com Can Be Yours!」這篇開始的:Yahoo! 宣佈會釋出太久沒有使用的 @yahoo.com 帳號讓其他人可以註冊。 而這導致了帳號綁定問題:如果使用者先前在 Facebook 上 (或是其他服務) 有綁定 Yahoo! 帳號,而他的 Yahoo! 帳號被釋出被其他人拿走後,其他人就可以利用重設密碼的功能取得 Facebook 帳號權限。 Yahoo! … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security | Tagged , , , , , , , , , , | Leave a comment