V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengzhuo
V2EX  ›  程序员

Tip:互联网社会的下水道-邮件系统的良心建设

  •  1
     
  •   mengzhuo · 2014-07-23 23:42:58 +08:00 · 3995 次点击
    这是一个创建于 3782 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近搞34nm,发现电子邮件系统的水其实非常深

    然后发现了防止邮件系统中间人攻击的STARTTLS协议
    和一个推广STARTTLS的网站

    https://starttls.info

    测了一圈国内知名网站,(某数字,某度,某企鹅,某易,某狐)全部不支持STARTTLS,
    也就是说大家的邮件在和*国内服务商*之间传递时是明文的,没有任何隐私可言,
    运营商和某宝想看就看,想获得帐号就获得帐号,让我想起诸多*权人士,没准是和国内人士通信时暴露了自己....

    相比之下,某乎和v2ex因为用了Google Apps,所以没有啥问题....

    和现在的社会真是高度吻合啊,帝都高楼四处建,暴雨之后各种淹.
    -----
    我只能呵呵,然后继续添加STARTTLS模块去了
    第 1 条附言  ·  2014-07-24 23:25:17 +08:00
    starttls.info的测试不公开

    http://www.checktls.com/perl/TestReceiver.pl

    这个公开测试结果

    QQ确实100%通过了,得了A


    163证书有问题


    sohu,baidu,360,aliyun集体FAIL




    23 条回复    2014-07-28 21:50:00 +08:00
    est
        1
    est  
       2014-07-24 00:05:49 +08:00 via Android
    邮件系统水相当深啊。coremail
    mengzhuo
        2
    mengzhuo  
    OP
       2014-07-24 00:10:05 +08:00
    @est

    一想到原来邮件不是这么保密的,就想到那么多私密图都让国宝的人看了...
    唉...

    coremail这分数

    https://starttls.info/check/coremail.cn

    还是自签名的...噗
    SoloCompany
        3
    SoloCompany  
       2014-07-24 00:55:35 +08:00
    @mengzhuo 你确定是自签名的?没有其它工具的情况下,也可以用 curl 来检查服务器是什么证书
    ehs2013
        4
    ehs2013  
       2014-07-24 06:07:21 +08:00
    QQ 邮箱是支持这个功能的,使用 Live Domain 的域名邮箱除了证书域不匹配也没什么大问题
    mengzhuo
        5
    mengzhuo  
    OP
       2014-07-24 07:14:01 +08:00
    @SoloCompany

    自签名导致无法验证的话和没有加密,其实是一样的
    中间人攻击照样搞定...

    @ehs2013

    嗯,QQ确实支持...原来这网站还会用上次的查询结果...得刷新一下.
    nopy
        6
    nopy  
       2014-07-24 08:59:37 +08:00   ❤️ 1
    刚才在QQ上分享34nm.com 发现被安全联盟拦截了…去申诉一下吧:)
    SoloCompany
        7
    SoloCompany  
       2014-07-24 09:11:56 +08:00 via Android
    @mengzhuo 我的意思不是说自签名安全,而是说不是自签名啊,可能只是域名不匹配,你真的验证过?
    ajsky
        8
    ajsky  
       2014-07-24 09:22:37 +08:00
    邮件的水相当深 折腾过一段时间的邮件 国内的几个免费的基本上没安全的
    mengzhuo
        9
    mengzhuo  
    OP
       2014-07-24 10:48:40 +08:00
    @nopy

    破安全联盟
    提交申请个https都不认识,
    硬是要http://开头,
    然后域名也是www.XXX
    然后这货竟然也在做伪EV认证,欺负国人见识浅是吧%……
    话说QQ浏览器是吃了多少回扣,才肯做这个屎一样的功能

    34nm已经全部升级成SSL了
    mengzhuo
        10
    mengzhuo  
    OP
       2014-07-24 10:53:19 +08:00
    @SoloCompany

    我没有亲自写代码去验证,但是按照那个网站的结果,自签名确实会影响得分
    域名不匹配时因为他们懒吧,Google, Apple, IBM等一流大厂都能通过
    a2z
        11
    a2z  
       2014-07-24 12:30:50 +08:00
    就算邮件服务器之间用了tls,想看还是能看到内容。打个电话就能把你邮箱整个复制一份发过去了。要想安全用PGP。
    NemoAlex
        12
    NemoAlex  
       2014-07-24 13:45:34 +08:00
    安全联盟就是互联网黑社会,要给保护费才行
    Herac1es
        13
    Herac1es  
       2014-07-24 16:02:43 +08:00
    谷歌的透明度报告显示国内邮件确实基本上不加密http://www.google.com/transparencyreport/saferemail/?hl=zh-CN
    ProfFan
        14
    ProfFan  
       2014-07-24 19:39:25 +08:00
    @mengzhuo 话说QQAvatar是不是您的作品啊,关注博客很久了呢
    mengzhuo
        15
    mengzhuo  
    OP
       2014-07-24 20:10:51 +08:00 via Android
    @ProfFan
    对啊,是我大学时候写的
    RangerWolf
        16
    RangerWolf  
       2014-07-24 20:22:31 +08:00
    @Herac1es 看了google的透明度报告 专门看了163的~ 数字基本上是100% 不知道这是否代表安全? 不知道自己理解错了没有
    Herac1es
        17
    Herac1es  
       2014-07-24 21:33:51 +08:00 via iPad
    @RangerWolf 这个报告刚出来那会我专门搜了腾讯网易,那时候都是0%。可能现在改了
    mengzhuo
        18
    mengzhuo  
    OP
       2014-07-24 22:26:43 +08:00
    @Herac1es

    QQ确实100%通过了,得了A


    163证书有问题


    sohu,baidu,360,aliyun集体FAIL



    RangerWolf
        19
    RangerWolf  
       2014-07-25 10:07:03 +08:00
    @mengzhuo 曾经网易到我校校招的时候,说qq的邮箱系统还是他们创建的。。。
    @Herac1es 多谢
    julyclyde
        20
    julyclyde  
       2014-07-25 22:47:31 +08:00 via iPad
    服务器间通信加密意义不大。有能量窃听的照样有能力解密
    服务器要的是吞吐量
    mengzhuo
        21
    mengzhuo  
    OP
       2014-07-25 23:14:57 +08:00
    @julyclyde

    SMTP支持客户端直接发送的, 如果没有加密只有呵呵呵了.
    有能力窃听国内这些服务器,运算能力肯定全国第一的某墙到现在也没整好SSL/TLSv1,可见难度还是很大的.

    吞吐量? 那点加密握手数据比起邮件本身可小多了.
    再说了,时刻需要保证安全完整,不被窃听的通讯是IT界的常识.
    julyclyde
        22
    julyclyde  
       2014-07-28 17:28:33 +08:00
    @mengzhuo 现代邮件系统的架构里,submission和mail exchange两套SMTPd一般都是分开的。服务器之间明文交互我不认为有啥问题
    mengzhuo
        23
    mengzhuo  
    OP
       2014-07-28 21:50:00 +08:00
    @julyclyde

    >>> 服务器之间明文交互我不认为有啥问题

    -----------------
    所以我说这是下水道,不出问题的时候大家都不会想到加密啊什么的.

    在骂市政规划的没有挖够下水道的时候,是不是也该反思自己没有挖到的地方呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2718 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 05:33 · PVG 13:33 · LAX 21:33 · JFK 00:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.