Tag Archives: smtp

DHS 要求郵件系統都必須使用 STARTTLS、DMARC,並且全面禁用 RC4 與 3DES

在 Twitter 上看到 18F 貼了 DHS 的新規定:「Enhance Email and Web Security」。 Just launched by our friends at DHS! A new federal directive to require DMARC and STARTTLS, and to cut RC4 and 3DES: https://t.co/gp5G7A6LMA pic.twitter.com/6V4UJ9sGIo — 18F (@18F) October 16, … Continue reading

Posted in Computer, Mail, Murmuring, Network, Privacy, Security, Service, WWW|Tagged , , , , , , , , , , , , , , , , , , , , |Leave a comment

Amazon EC2 會對 Port 25 的連線數量限制

起因於一台 ap-northeast-1 的機器 (東京) 會使用 us-west-2 的 SES (美西,奧勒岡),然後發現信延遲的有點嚴重,看 mail log 發現是因為連線 timeout。 查了以後發現在「Amazon SES SMTP Issues」這邊就有提到 EC2 instance 對 port 25 有限制: You are sending to Amazon SES from an Amazon EC2 instance via port 25 and you cannot … Continue reading

Posted in AWS, Cloud, Computer, Mail, Murmuring, Network, Spam|Tagged , , , , , , , |Leave a comment

Gmail 要開始導入 SMTP Strict Transport Security 了

SMTP MTA Strict Transport Security 算是 SMTP STARTTLS 裡的 HSTS 機制,而 Google 的人在 RSA Conference 上提出要開始用了:「SMTP STS Coming Soon to Gmail, Other Webmail Providers」。 Elie Bursztein, the head of Google’s anti-abuse research team, said at RSA Conference that SMTP STS … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security, Spam|Tagged , , , , , , , , , , |Leave a comment

自建 Mail System 的難度

在 Hacker News 上的「Ask HN: Is it possible to run your own mail server for personal use?」這篇道出了現在自建 mail system 的難度。作者遇到信件常常被各大 mail 服務歸類成 spam: The problem is making sure my mail is not marked as spam by the major MTAs out … Continue reading

Posted in Computer, Mail, Murmuring, Network, Spam|Tagged , , , , , , , , , , , , |2 Comments

Gmail 的 SMTP 將拔掉對 SSLv3 與 RC4 的支援

Gmail 的 SMTP 決定在近期內拔掉 SSLv3 與 RC4 了:「Disabling support for SSLv3 and RC4 for Gmail SMTP in 30 days」。 Gmail 的 SMTP 應該是 Google 少數還支援 SSLv3 與 RC4 的服務?總算是要拔了...

Posted in Computer, Mail, Murmuring, Network, Security|Tagged , , , , , , , , , |Leave a comment

Gmail 將會提示沒有支援 STARTTLS 的信箱

Gmail 界面將會提示不支援 STARTTLS 的信箱:「Making email safer for you」。 先確認 msa.hinet.net 的 MX record: ;; ANSWER SECTION: msa.hinet.net. 86174 IN MX 0 msa-smtp-mx1.hinet.net. msa.hinet.net. 86174 IN MX 0 msa-smtp-mx2.hinet.net. 以及不支援 STARTTLS (在 EHLO 後不會出現 STARTTLS 選項): $ t msa-smtp-mx1.hinet.net 25 Trying … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security|Tagged , , , , , , |Leave a comment

Gmail 將會針對沒有加密傳輸收到的信件標示警告

前陣子在「STARTTLS 的不完整性以及大規模監控電子郵件」提到現有的標準無法確保 ESMTP 一定會啟用 STARTTLS。所以 Google 正在跟 M3AAWG 研究標準來保護這類攻擊: First, we found regions of the Internet actively preventing message encryption by tampering with requests to initiate SSL connections. To mitigate this attack, we are working closely with partners through the … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security|Tagged , , , , , , , , |Leave a comment

STARTTLS 的不完整性以及大規模監控電子郵件

在「Don’t count on STARTTLS to automatically encrypt your sensitive e-mails」這邊提到了 STARTTLS 的問題,引用「Neither Snow Nor Rain Nor MITM ... An Empirical Analysis of Email Delivery Security」這篇論文的說明。 SMTP 裡 STARTTLS 的設計雖然可以加密,但仲所皆知,可以阻擋 EHLO 回應結果避免建立 STARTTLS 連線,而讓發送端改用傳統未加密的 SMTP 傳輸。而研究發現其實目前就有大規模的這種監控行為: 可以看到突尼西亞的監控情況遠超過想像... 目前的想法是發展一套類似 HSTS 的 Trust … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security|Tagged , , , , , , , , , , , , , |2 Comments

把 SMTP 的 SSL certfiticate 弄起來...

網站的 SSL certificate 弄過很多次了,想說來測看看 MX host 的部份。弄好後就會像這樣,這是 Varnish 的 mailing list: Received: from project.varnish-software.com (project.varnish-software.com [194.31.39.164]) (using TLSv1 with cipher AES256-SHA (256/256 bits)) (No client certificate requested) by home.gslin.org (Postfix) with ESMTPS id 9C2F568009A for ; Mon, 21 Sep 2015 … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security|Tagged , , , , , , , , |2 Comments

用 Require-Recipient-Valid-Since (RRVS) 解決帳號失效的問題

在「Facebook Yahoo Require-Recipient-Valid-Since SMTP Extension」這篇看到 Require-Recipient-Valid-Since (RRVS) 變成 Proposed Standard 了:「The Require-Recipient-Valid-Since Header Field and SMTP Service Extension」(RFC 7293)。 起因是從 2013 年的「yourname@yahoo.com Can Be Yours!」這篇開始的:Yahoo! 宣佈會釋出太久沒有使用的 @yahoo.com 帳號讓其他人可以註冊。 而這導致了帳號綁定問題:如果使用者先前在 Facebook 上 (或是其他服務) 有綁定 Yahoo! 帳號,而他的 Yahoo! 帳號被釋出被其他人拿走後,其他人就可以利用重設密碼的功能取得 Facebook 帳號權限。 Yahoo! … Continue reading

Posted in Computer, Mail, Murmuring, Network, Security|Tagged , , , , , , , , , , |Leave a comment