SMTP TLS nélkül

Web, mail, IRC, IM, hálózatok

Mit érdemelnek azok, akik még mindig ott tartanak, hogy a mail szerverük semmilyen TLS-t nem tud?

  • 596 megtekintés

( kassaiviktor | 2025. 10. 30., cs – 11:48 )

belső hálón mi is így adjuk át egyik smtp-től a másiknak a leveleket. gyorsabb úgy. kifele ilyet biztos nem csinálnánk

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( YleGreg | 2025. 10. 30., cs – 12:53 )

Mit érdemel az a postás, aki átveszi továbbításra a lebélyegzett levelezőlapot?

Látod, amit nekem írtál, az sem kritikus, mégis https alatt jött-ment, tisztára pazarló módon. :-)

Én a gyermekvédelmiterrorizmus ürügyén követelem minden titkosítás megszüntetését, és switchek helyett hubok alkalmazását, hogy bárki ellenőrizhessen bárkit. Free tcp 80! Free nipple!

( hrgy84 | 2025. 10. 30., cs – 12:58 )

Semmit. Mivel a szabávny nem írja elő, nem kötelező. Mivel nem kötelező, nem büntetheted érte őket. Ez egy rövid fórumtopik lesz így, dobj be még valami controversary-t.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

...és egy csomó esetben tök értelmetlen erőforrást pazarolni rá, tök publikus cuccoknál semmi haszna nincs annak, hogy titkosítva töltöd le, az ingyenes cert-ek miatt pedig még értelmes védelem sincs, hogy tényleg onnan töltötted-e le, ahonnan akartad... amúgy a keresőmotorok és a böngészők prefereláják, ezért van értelme https szolgáltatni.

https://iotguru.cloud

Azért  a publikus oldalak üzemeltetői sem örülnének ha egy köztes entitás a tartalomban lecserélné az "osztogatnak" szót "fosztogatnak"-ra. :)

Egyébként az SMTP-nél is "bűntet" pl. a Gmail (webmail) megjelöli egy piros bizbasszal ha nem TLS-el ment az MTA- között a levél:

https://support.google.com/mail/answer/7039474?hl=en-GB&ref_topic=72802…

> "bűntet" pl. a Gmail

annyira "imadom" hogy ezek a (majdnem) monopol cegek, google & microsoft buntetgetnek mindenfele miatt... aztan a legacy rendszereket uzemeltetok meg extra szopast kapnak ajandekba. legujabb hogy az o365 megkoveteli az spf-et akkor is, ha van dkim is. de miert? dkim megbizhatobb es jobb, altalaban kibirja a forwardot is szemben az spf-el. a webes buzisagaikrol mar nem is beszelve.

Azért  a publikus oldalak üzemeltetői sem örülnének ha egy köztes entitás a tartalomban lecserélné az "osztogatnak" szót "fosztogatnak"-ra. :)

Erre van a checksum ellenőrzés, az SSL egy erőforrásigényes dolog, égetjük a pénzt a semmiért, amikor egy csomó statikus és publikus dolgot SSL csatornán küldünk át.

https://iotguru.cloud

"egy csomó esetben tök értelmetlen erőforrást pazarolni rá, tök publikus cuccoknál semmi haszna nincs annak"

Ez azért nem feltétlen igaz. Ott felesleges erőforrást pazarolni rá, ahol az integritás ellenőrzés meg van oldva másképp. Ha letölti a csomagkezelő az rpm-et vagy deb-et, és tudja ellenőrizni, hogy tényleg az-e. Ha letöltöd az ISO-t, és megnézed a checksumot utána, hogy tényleg az az iso érkezett-e hozzád, és valaki út közben nem tett-e bele valami kis trójait.

"az ingyenes cert-ek miatt pedig még értelmes védelem sincs"

Ez hülyeség. Pont ugyanannyi a védelem az ingyenes certen, mint a nem teljesen cég-validált fizetősökön.

"Sose a gép a hülye."

Ha mondjuk ki van rá írva, hogy kazán karbantartás 20000 Ft, és ezt valaki út közben átírja 2000-re? Örülsz, kihívod az embert, megcsinálja, majd modja hogy 20000... Te meg mondod hogy 2000 volt. És akkor ha kötcsög vagy, akkor jöhet az, hogy vásárló megtévesztése és hasonló szarakodások.

Vagy fordítva: ő 20000-ért vállalja, de a konkurencia meg belenyúl, hogy te 40000-ret lássál, és így nem őt fogod hívni, azaz magának csinálja a bizniszt.

Tudom, ezek nagyon kisarkított dolgok és témák.... De ugye látszik a lényeg. Bármilyen információ akkor tekinthető validnak, ha biztos vagy benne, hogy ez szerepel ott, és onnan jön. Erre jó a HTTPS.

"Sose a gép a hülye."

Ott felesleges erőforrást pazarolni rá, ahol az integritás ellenőrzés meg van oldva másképp.

Meg lehetne oldani HTTP-n is.

Ez hülyeség. Pont ugyanannyi a védelem az ingyenes certen, mint a nem teljesen cég-validált fizetősökön.

Fel akarsz menni az otpbank.hu oldalra és elírod, az optbank.hu oldalt megvette a rosszarcú, csinált rá ingyenes cert, felépített egy proxy-t a bank felé, a böngésző szerint ez teljesen rendben lesz, téged meg kirabol. Mi ellen véd akkor? :)

https://iotguru.cloud

( arpi_esp v | 2025. 10. 30., cs – 15:18 )

mennyire jellemzo, hogy mail szerverek kozotti adatforgalmat lehallgatjak?

mennyire jellemzo, hogy titkokat titkositatlan emailben kuldozgetnek egymasnak?

"mennyire jellemzo, hogy mail szerverek kozotti adatforgalmat lehallgatjak?"

Pont annyira, mint ahogy a kliens-szerver vagy kliens-kliens közti kommunikációt.

"mennyire jellemzo, hogy titkokat titkositatlan emailben kuldozgetnek egymasnak?"

Ugye, mi is a "titok"? Egy emailben érkező 2FA auth? Egy elfelejtett jelszó link? Egy árajánlat, megrendelő? Egy bescannelt szerződés?

"Sose a gép a hülye."

( Friczy v | 2025. 10. 30., cs – 17:01 )

Ha csak levél fogadásra van, és nem kell neki auth, akkor minek?

( x-daemon | 2025. 10. 30., cs – 17:56 )

kerdes, hogy van-e integritas ellenorzes.

pl. a debian letoltes utan csomagonkent ellenorzi az integritast, johet http-n is.

neked aztan fura humorod van...

( YleGreg | 2025. 10. 31., p – 09:36 )

Vajon mennyi energiát lehetne megspórolni, ha 10 éven keresztül a világ összes levele hanyagolná a titkosítást és plain text -ben utaznva, kivéve azokat ahol a tudatos felhasználó PGP titkosítást használ? Mennyire lassabban melegedne a föld?