SMTP TLS nélkül

Web, mail, IRC, IM, hálózatok

Mit érdemelnek azok, akik még mindig ott tartanak, hogy a mail szerverük semmilyen TLS-t nem tud?

  • 1724 megtekintés

( kassaiviktor | 2025. 10. 30., cs – 11:48 )

belső hálón mi is így adjuk át egyik smtp-től a másiknak a leveleket. gyorsabb úgy. kifele ilyet biztos nem csinálnánk

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( YleGreg | 2025. 10. 30., cs – 12:53 )

Mit érdemel az a postás, aki átveszi továbbításra a lebélyegzett levelezőlapot?

Látod, amit nekem írtál, az sem kritikus, mégis https alatt jött-ment, tisztára pazarló módon. :-)

Én a gyermekvédelmiterrorizmus ürügyén követelem minden titkosítás megszüntetését, és switchek helyett hubok alkalmazását, hogy bárki ellenőrizhessen bárkit. Free tcp 80! Free nipple!

( hrgy84 | 2025. 10. 30., cs – 12:58 )

Semmit. Mivel a szabávny nem írja elő, nem kötelező. Mivel nem kötelező, nem büntetheted érte őket. Ez egy rövid fórumtopik lesz így, dobj be még valami controversary-t.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

...és egy csomó esetben tök értelmetlen erőforrást pazarolni rá, tök publikus cuccoknál semmi haszna nincs annak, hogy titkosítva töltöd le, az ingyenes cert-ek miatt pedig még értelmes védelem sincs, hogy tényleg onnan töltötted-e le, ahonnan akartad... amúgy a keresőmotorok és a böngészők prefereláják, ezért van értelme https szolgáltatni.

https://iotguru.cloud

Azért  a publikus oldalak üzemeltetői sem örülnének ha egy köztes entitás a tartalomban lecserélné az "osztogatnak" szót "fosztogatnak"-ra. :)

Egyébként az SMTP-nél is "bűntet" pl. a Gmail (webmail) megjelöli egy piros bizbasszal ha nem TLS-el ment az MTA- között a levél:

https://support.google.com/mail/answer/7039474?hl=en-GB&ref_topic=72802…

> "bűntet" pl. a Gmail

annyira "imadom" hogy ezek a (majdnem) monopol cegek, google & microsoft buntetgetnek mindenfele miatt... aztan a legacy rendszereket uzemeltetok meg extra szopast kapnak ajandekba. legujabb hogy az o365 megkoveteli az spf-et akkor is, ha van dkim is. de miert? dkim megbizhatobb es jobb, altalaban kibirja a forwardot is szemben az spf-el. a webes buzisagaikrol mar nem is beszelve.

Azért  a publikus oldalak üzemeltetői sem örülnének ha egy köztes entitás a tartalomban lecserélné az "osztogatnak" szót "fosztogatnak"-ra. :)

Erre van a checksum ellenőrzés, az SSL egy erőforrásigényes dolog, égetjük a pénzt a semmiért, amikor egy csomó statikus és publikus dolgot SSL csatornán küldünk át.

https://iotguru.cloud

A köztes ISP-k profilozása, tartalom alapú QoS stb mind sokkal nehezebb (mondjuk nem lehetetlen) HTTPS-en, szép példa rá:

https://www.mjkranch.com/docs/pubs/CODASPY17_Kranch_Reed_IdentifyingHTT…

Folyamatosan megy a cicaharc a kontent providerek az isp-k és a kormányzati szervek között.

Hát, nem lehetetlen belefejleszteni - bár "fejleszteni" a szónak a köznapi értelmében nem kell, mert ez "csak" egy szabvány, abba csak beleírni kell dolgokat.

A probléma nehézségét pont ugyanaz adja, amiért a HTTPS kikényszerítése is kínlódik, amiért az IPv6 se terjedt el, hiába fogadkozott mindenki, hogy "ez lesz az új internet alapja". Egyszerűen túl sok eszköz használja ezt a protokollt, amihez már nincs semmiféle támogatás, support, de igény a létezésükre viszont van, és azok nem fognak egy ilyen változást tudni elkezelni. Ugyanúgy szét fog hasadni a világ a HTTPC-t (HTTP with checksum) használó és nem használó részekre. És ugyanúgy szopás lesz a visszafelé kompatibilitás, mint ahogy most a böngészőknél szopás van, ha valami olyasmit akarsz elérni, ami nem HTTPS hanem HTTP felett van.

Aztán egy szép napon változik a checksum mögötti kriptográfiai technológia, és a most tök jó Win11-es gépem többé nem fog tudni kommunikálni a világ többi részével, ahogy a Windows 98-ak sem tudnak kommunikálni a mai internettel.

Ismerjük már ezt a történetet, és a történelem sajnos olyan, mint a Hallmark műsora: jórészt isméltésekből álll.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Oké, is ki és hogyan mondja meg a checksum-ot, amivel egyeznie kell a tartalom helyben checksum számolt értékének? 

Röviden a kérdésre is válaszolva: nem, nem lehetetlen, hanem totálisan fölösleges. Pláne, hogy a http nem állapottartó protokoll, azaz egy darab kérés - egy darab válasz és ennyi. Te azt szeretnéd, hogy mellé legyen még egy másik, hiteles/védett csatorna, amiben a checksum "utazik", amit mindkét oldalon számolni kell... Ha két lépést hátrébb lépsz, látható az ötleted khm. nem átgondoltsága... 

Khm, vannak rá megoldások évek óta:

<script src="...script.js" integrity="sha256-...">

A csatorna meg tud lenni SSL + client cert védett, amiben a checksum utazik, ha ennél dinamikusabbat akarok. Baromi sok felesleges energia az, hogy minden publikus szart titkosítunk minden egyes letöltésnél, teljesen feleslegesen.

https://iotguru.cloud

"Baromi sok felesleges energia az"

Számszerűsitve mennyi ez a baromi sok energia? 

+5-10% cpu? És nem kell azzal bohóckodni, hogy kitaláljak valami újabb őrületet, hogy de a checksum azért mégiscsak TLS-el, certtel védett csatornán utazzon, mig a többi ne. És ugyanúgy fenn kell tartani a teljes CA hierarchiát, CRL kezelést és az egész hóbelevancot. 

De ha már itt tartunk, a szöveget miért ne akarjam védeni egy MITM támadástól ugyanezzel a már kifejlesztett rendszerrel? És majd egyenként döntsem el, hogy ezt a szöveget érdemes lehet hamisitani, akkor mégis TLS-el küldöm, a másik az nem fontos.

Hülyeség az egész.

Forrás?

Kutatások a témában, majd egyszer megint megkeresem, ha épp ráérek, pár hónapja olvastam. Egyébként KEMTLS az egyik kulcsszó, érdekes téma, ajánlom olvasgatni.

Zseniális ötlet, csak mi akadályozza meg a mitm támadót, hogy az ebben a tag-ben utazó string-et kicserélje egy olyanra ami annak a tartalomnak a checksum-jával egyezik, amire hamisitotta az oldalt?

Ah, ezzel részben lehülyézted a W3C-t, másrészt meg az oldal, amin a checksum van, az lehet SSL/TLS mögött, mert valószínűleg nem egy egymilliárdszor letöltött publikus library/kép/CSS/whatever, ha igen, akkor meg már egy megbízható checksum hivatkozás tölti be. Tudod, ki van ez találva, csak kevesen használják, mert jönnek ezekkel a fasz kérdésekkel, mert nem értik az egészet. És ahelyett, hogy leülnének egy csendes sarokba és átolvasnák a témában a szakirodalmat, nekiállnak random faszságokat kérdezni, amit már mások is ezerszer megkérdeztek, mert ők se ültek le egy csendes sarokba átolvasni a szakirodalmat. Ami szakirodalom amúgy megválaszolja a random faszságokat, amit feltesztek kérdésként.

Azért, mert valamit 15-20 éve "így szoktunk", az nem jelenti azt, hogy fenntartható és skálázható dolog. Időnként érdemes a dobozon kívül gondolkodni.

https://iotguru.cloud

20-an irtuk le, hogy miért hülyeség amit mondasz, de mi jövünk fasz kérdésekkel és mi nem értjük az egészet... :)

Azok a "fasz" kérdések próbáltak volna rávezetni téged, hogy miért hülyeség amit beszélsz és miért használja az egész világ azt, amit levezettünk neked, hogy sokkal-sokkal jobb rendszer, mint amit próbálsz összeeszkábálni, zero-knowledge-el a témában.

"nem jelenti azt, hogy fenntartható és skálázható dolog."

Pedig nagyon úgy tűnik, hogy fenntartható és skálázható, tökéletesen működik. De nagyon várom már a TLS rettenet nagy overheadjét bemutató szakirodalmadat.

Akkor van TLS csatorna vagy nincs? A fenti sor, amiben a "mennyi az annyi" utazik, az tls-ben megy, a többi meg nem? És mi és hogyan mondja meg a kliensnek, hogy tls-csatornán lehet checksum ellenőrzést csinálni? Mert ugye ha az plain text, akkor kidobható a forgalomból... 
Egyébként a sajtban a lukat, ugyanis van olyan forgalom, ahol TLS-be csomagolás a felek kölcsönös azonosítása miatt van, az érdemi adat/információ meg xml-ben, annak is egy titkosított mezőjében utazik. Igaz, ehhez kell kulcsot cserélni, ami tls-be csomagolt csatornán kifejezetten egyszerű, nélküle viszont eléggé sajtreszelős, bár megoldható. 
A "baromi sok"-at tessék definiálni, mert én nem látom izzadni egyik szerver CPU-ját sem attól, hogy gyakorlatilag nincs TLS-be nem csomagolt forgalma, illetve ami van, az molyf1ng a többihez képest. Igen. tudom, a kis IoT vackoknak nehezükre esik, meg nem bírnak vele sokszor... de valamit valamiért: ha nem tud/képes biztonságos csatornán  kommunikálni, akkor be kell zárni egy olyan "dobozba", ami kifelé már tud ilyet. 

 

Akkor van TLS csatorna vagy nincs?

Nem kell legyen, a checksum lehet digitálisan aláírva.

illetve ami van, az molyf1ng a többihez képest

Ez olyan 5-10 TWh évente, nagy része teljesen feleslegesen, csak mert a böngészők kényszerítik, és igen, vannak kutatások a kiváltására, pont ezért, mert igen sok energia, nagyrészt feleslegesen.

https://iotguru.cloud

És mivel meg hogyan kényszeríted ki, hogy a checksum-ot ellenőrizze a kliens? Hogyan küldöd el neki azt a "parancsot", hogy a checksum ellenőrzése szükséges? Hogyan oldod meg, hogy ezt az információt ne lehessen kidobni a kommunikációból? Mert ugye a MITM támadó mindent is lát és képes módosítani. 

Ja, és a dinamikus tartalmakkal, a menet közben "streaming" jelleggel tolt adatokkal mi lesz? Vagy mindent "is" cache-be rak a webszerver, checksum-ot számol, majd utána küldi el a kliensnek? 

A számokra valami elfogadható hivatkozást azért kellene adnod... 

 

Egyébként ebben a témában veled kapcsolatbanerős deja vu érzésem van, mintha korábban is előhozakodtál volna ezzel a nyakatekert ötlettel...

És mivel meg hogyan kényszeríted ki, hogy a checksum-ot ellenőrizze a kliens? Hogyan küldöd el neki azt a "parancsot", hogy a checksum ellenőrzése szükséges?

Khm. Olvass. Khm. https://www.w3.org/TR/sri-2/

Ja, és a dinamikus tartalmakkal, a menet közben "streaming" jelleggel tolt adatokkal mi lesz? Vagy mindent "is" cache-be rak a webszerver, checksum-ot számol, majd utána küldi el a kliensnek? 

Idéznéd, hogy hol a lófaszban írtam olyat, hogy semmihez nem szabad SSL/TLS-t használni?

Segítek, innen indultunk: "Erre van a checksum ellenőrzés, az SSL egy erőforrásigényes dolog, égetjük a pénzt a semmiért, amikor egy csomó statikus és publikus dolgot SSL csatornán küldünk át."

Ti meg ahelyett, hogy ebben a kontextusban maradnátok vagyis "statikus és publikus", egész szalmabáb hadsereget építetek fel és már azon vered a nyálad, hogy dinamikus tartalmakkal mi van, és a többi.

https://iotguru.cloud

nyilvan nem checksumra gondolt a kolto, hanem digitalis alairasra. ami az emaileknel a DKIM az tudna mukodni http-nel is siman, egy headerben jonne a hash, a pubkey meg ott lehetne a dns-ben. 

a gond csak az, hogy az alairas szamolasa szerver es kliens oldalon is eroforrasigenyesebb lenne a https ssl-jenel. mivel utobbinal a tenyleges titkositast altalaban hw gyorsitott AES-el oldjak meg, mig az alirasnal az egesz contentre kellene min sha256 hasht szamolni.

a masik gond meg, hogy ha valaki MITM modon bele tud nyulni a http forgalomba, akkor az a dns-be is bele tud...

nyilvan nem checksumra gondolt a kolto, hanem digitalis alairasra.

A költő erre gondolt: https://www.w3.org/TR/sri-2/

a masik gond meg, hogy ha valaki MITM modon bele tud nyulni a http forgalomba, akkor az a dns-be is bele tud...

Oszt? Az egy teljesen másik dimenzió.

https://iotguru.cloud

ÁS ebben le is van írva, hogy ez nem ad semmilyen securityt: non-secure contexts remain non-secure.
És emiatt ezt az egészet csak HTTPS felett ajánlja a W3C. Nem hülyék ám ők sem.

5.1. Non-secure contexts remain non-secure

Integrity metadata delivered by a context that is not a Secure Context such as an HTTP page, only protects an origin against a compromise of the server where an external resources is hosted. Network attackers can alter the digest in-flight (or remove it entirely, or do absolutely anything else to the document), just as they could alter the response the hash is meant to validate. Thus, it is recommended that authors deliver integrity metadata only to a Secure Context. See also Securing the Web.

Ez nem a HTTP feladata, mert az jogosan megbízik a TCP rétegben, ami automatikusan használ checksumot.

Az egy teljesen másik checksum, teljesen más célra. Ha MitM támadás van, akkor a TCP-nek lövése nincs arról, hogy rosszarcú kicserélte a tartalmat, mert TCP szinten minden tökéletes lesz. Akkor tudod, hogy kicserélte, ha alá van írva digitálisan, amit ellenőrizni tudsz vagy van rajta checksum, amit más csatornán kapsz meg és nem tudja kicserélni a rosszarcú.

Ha az alkalmazás még ezen felül akar még egy checksumot, akkor az legyen az alkalmazás gondja.

Erről van szó kb.

https://iotguru.cloud

Aki bele tud nyúlni a forgalomba, anélkül, hogy észrevennéd, a checksumba is bele tud nyúlni.

Idéznéd, hogy hol írtam azt, hogy minden SSL/TLS nélkül menjen? Szerintem sehol. Az írtam, hogy a statikus és publikus tartalmakat teljesen felesleges titkosítani és titkosítva átküldeni, amikor vannak erre olcsóbb megoldások, mert az SSL/TLS felépítése és az adat átküldése erőforrás igényes. Szóval a kérdésedre a válasz: ahol meghivatkozom a checksum ellenőrzött resource-ot, az nyilván SSL/TLS védett, nem tudja kicserélni a rosszarcú a checksum. A hivatkozott resource-ot meg azért nem, mert nem fog rá stimmelni a checksum. Ha egy checksum ellenőrzött resource hivatkozik egy másik ilyen resource-re, akkor meg ott van már egy checksum lánc, aminek az első lépése SSL/TLS védett.

https://iotguru.cloud

"egy csomó esetben tök értelmetlen erőforrást pazarolni rá, tök publikus cuccoknál semmi haszna nincs annak"

Ez azért nem feltétlen igaz. Ott felesleges erőforrást pazarolni rá, ahol az integritás ellenőrzés meg van oldva másképp. Ha letölti a csomagkezelő az rpm-et vagy deb-et, és tudja ellenőrizni, hogy tényleg az-e. Ha letöltöd az ISO-t, és megnézed a checksumot utána, hogy tényleg az az iso érkezett-e hozzád, és valaki út közben nem tett-e bele valami kis trójait.

"az ingyenes cert-ek miatt pedig még értelmes védelem sincs"

Ez hülyeség. Pont ugyanannyi a védelem az ingyenes certen, mint a nem teljesen cég-validált fizetősökön.

"Sose a gép a hülye."

Ha mondjuk ki van rá írva, hogy kazán karbantartás 20000 Ft, és ezt valaki út közben átírja 2000-re? Örülsz, kihívod az embert, megcsinálja, majd modja hogy 20000... Te meg mondod hogy 2000 volt. És akkor ha kötcsög vagy, akkor jöhet az, hogy vásárló megtévesztése és hasonló szarakodások.

Vagy fordítva: ő 20000-ért vállalja, de a konkurencia meg belenyúl, hogy te 40000-ret lássál, és így nem őt fogod hívni, azaz magának csinálja a bizniszt.

Tudom, ezek nagyon kisarkított dolgok és témák.... De ugye látszik a lényeg. Bármilyen információ akkor tekinthető validnak, ha biztos vagy benne, hogy ez szerepel ott, és onnan jön. Erre jó a HTTPS.

"Sose a gép a hülye."

Ott felesleges erőforrást pazarolni rá, ahol az integritás ellenőrzés meg van oldva másképp.

Meg lehetne oldani HTTP-n is.

Ez hülyeség. Pont ugyanannyi a védelem az ingyenes certen, mint a nem teljesen cég-validált fizetősökön.

Fel akarsz menni az otpbank.hu oldalra és elírod, az optbank.hu oldalt megvette a rosszarcú, csinált rá ingyenes cert, felépített egy proxy-t a bank felé, a böngésző szerint ez teljesen rendben lesz, téged meg kirabol. Mi ellen véd akkor? :)

https://iotguru.cloud

Aki egy ilyen csinál, szerinted az tartja vissza, hogy ki kell fizetni 10 000 Forintot egy certért? Nem hiszem...

Aham, tehát akkor egy EV és a DV cert között szerinted nincs lényeges különbség? Legalább ne "zöld" legyen egy szimpla ingyenes DV cert a böngészőben, hanem sárga vagy kék vagy bármi. Legyen zöld az, ami EV, ha bankolni akarok, akkor tudom, hogy a bank kifizette és ellenőrizték, hogy tényleg ő kérte és kapta a cert-et. Ha már.

https://iotguru.cloud

Az ellen véd, hogy felmész egy akármilyen wifi-re, ahol dns kamu IP-re visz. Nem akkor, amikor hülye vagy és más oldalt gépelsz be, hanem akár könyvjelzőből kattintasz az igazi otpbank.hu oldalra.

HTTP-n egy ilyen MITM támadást úgy benyelsz, ahogy kell, esélyed sincs kivédeni. HTTPS-en pedig a támadónak nincs esélye sem átverni, mert képtelen érvényes cert-et csinálni az otpbank.hu oldalra, hiába irányitja a DNS-t és a teljes forgalmadat.

Ezt én értem, de az ellen továbbra sem véd, ami az egyik fő célja lenne: hogy bármilyen random weboldal ne tudjon másnak tűnni, csak mert szép zöld lakat van rajta. Ez az erőltetett HTTPS kényszerítés elhozta az ingyenes cert korát, ami elhozta azt, hogy bárki tud olcsón és különösebb ellenőrzés nélkül SSL cert-et kapni. Legalább jelezze a böngésző, hogy ez csak titkosít, nem jelenti azt, hogy a másik oldal, az, akinek mondja magát.

https://iotguru.cloud

Értő olvasás... Az, hogy milyen folyamat végén került a cert kibocsátásra, az abból a szempontból nem releváns, hogy a tartalom onnan származik-e, amit a böngészőbe beírtam, és út közben módosult-e vagy sem. A DV cert is meg a többi is azt bizonyítja első körben, hogy az adott szerverhez admin joggal hozzáférő, azt üzemeltető a domain felett teljes kontrollal rendelkezett a cert kibocsátásakor. 

A szervert azonosítja, és a tartalom integritását biztosítja, ennyi alapvetően. 

Értő olvasás... Az, hogy milyen folyamat végén került a cert kibocsátásra, az abból a szempontból nem releváns, hogy a tartalom onnan származik-e, amit a böngészőbe beírtam, és út közben módosult-e vagy sem.

Khm, értő, khm, olvasás. Khm. Azért számít, mert jelenleg halvány fogalmad nincs arról, hogy a weboldal, amit nézel az ingyenes domain cert vagy egy rendes cert, ami mögött van valami felelősség.

A DV cert is meg a többi is azt bizonyítja első körben, hogy az adott szerverhez admin joggal hozzáférő, azt üzemeltető a domain felett teljes kontrollal rendelkezett a cert kibocsátásakor. 

Ennyi. Ahogy írtam már, nem jelzi semmi, hogy az otpbank.hu oldalt nézed vagy az optbank.hu oldalt, mert szuperzöld mind a kettő. És ez baj.

https://iotguru.cloud

"az ellen továbbra sem véd, ami az egyik fő célja lenne: hogy bármilyen random weboldal ne tudjon másnak tűnni"

Ezt nem tudom ki mondta neked, hogy ez lenne a célja. A célja az, amit fentebb leirtam. Ha a jó oldal cimét irod be, akkor nem lehet megtéveszteni a usert. (az, hogy sniffelni sem lehet közben a forgalmat, csak hab a tortán)

Ezt nem tudom ki mondta neked, hogy ez lenne a célja.

Jó darabig ez volt a célja, hogy ha van SSL, akkor az mögött van valaki, akit valaki ellenőrzött. Most már jó ideje ilyen nincs.

Ha a jó oldal cimét irod be, akkor nem lehet megtéveszteni a usert. (az, hogy sniffelni sem lehet közben a forgalmat, csak hab a tortán)

Ha viszont rossz oldal címét írja be a user, akkor igen. Hiába EV az otpbank.hu, ha a rosszarcú csinál egy proxy-t az optbank.hu címre, Let's Encrypt domain validated cert rámegy, user észre se veszi, hogy elgépelte, mert minden szuperzöld és lenyúlták az összes pénzét. Egy csomó csalás működik így, levélben küldött címekkel, mint például rnicrosoft.com, ha ASCII-nél akarunk maradni, ha kicsit nem figyelsz, beszopod.

https://iotguru.cloud

TLS nélkül az, hogy mit szolgáltat a webszervered, mint tartalom, és adott URL-en mit lát az arra tévedő, mint tartalom... Nos az attól függ, hogy a kliens valóban a  megfelelő ip-címet kapja vissza az általa használt dns szervertől, és a tartalom, amit kér, áthalad-e egy transzparens, tartalmat módosító proxy-n vagy sem. Semmi és senki nem garantálja, hogy a kérés, ami a webszerveredhez érkezik, az valóban arról az IP-ről indult, amit látsz, és azt sem, hogy amit a webszervered kibüfög magából, az jut el a kliens böngészőjéhez.

Tudom, hogy ez meglepetésként ér sokakat, de a levelezés mint olyan, RFC szabványok által irányított technológia. Mind az SMTP (RFC 5321) mind pedig a levél MIME tartalma (RFC 822 / RFC 2822) elég kötött módon szabályozott dolog. És itt nincs olyan szabadosság, mint a böngészőknél, hogy majd mi jól leimplementálunk belterjes kis háziszabványokat, mert ha azt a levelezők többsége nem támogatja, akkor kiteheted az ablakba.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

itt nincs olyan ... hogy majd mi jól leimplementálunk belterjes kis háziszabványokat

o, dehogynem!

ha azt a levelezők többsége

eleg ha az outlyuk tamogatja, a tobbi meg majd szepen alkalmazkodik. lasd pl winmail.dat es hasonlo ms okossagok. vagy az if-ek a html mailekben. es meg hosszan sorolhatnam...

a MIME rfc is olyan mint az alsogatya, folyton cserelgetik...

levelezsnel az smtp es mime rfc-k pont annyit ernek, mint webnel a http protokoll rfc-je. de a tartalom ugyanugy a dominans kliens programok (bongeszoknel regen az msie, manapsag a chrome motor, levelezesnel az outlook) egyeni ertelmezesen es haziszabvanyain mulik...

"levelezés mint olyan"

Nincs ilyen hogy levelezés, van IMAP, meg SMTP, meg MAPI, stb...

"RFC szabványok"

Persze. Szép is lenne. Én még emlékszek arra is, amikor az Exchange olyan "tájszólással" beszélt SMTP-ül, hogy külön állítani kellett a postfixon hogy működjön. Meg arra is, hogy a dovecot-ban volt konkrét opció az outlook express szarságainak bekapcsolásához.

"majd mi jól leimplementálunk belterjes kis háziszabványokat"

Pedig ugyanerről szól. Ha próbáltál már valaha is egy "komolyabban" formázott levelet, vagy email sablon csinálni... Akkor tudod mekkora orbitális szopás.

"ha azt a levelezők többsége nem támogatja"

Pontosan ezért van a mai napig pl. az összes hírlevél html table-el összekókányolva, mert azt minden tudja, míg pl. a div-et nem..

"Sose a gép a hülye."

itt nincs olyan szabadosság, mint a böngészőknél, hogy majd mi jól leimplementálunk belterjes kis háziszabványokat

Ha jól értem, akkor valahol közben témát váltottunk, és már nem arról az emailforgalomról van szó, ami világszerte egy 2-3 cég között felosztott oligopólium, ugye? :D

( arpi_esp v | 2025. 10. 30., cs – 15:18 )

mennyire jellemzo, hogy mail szerverek kozotti adatforgalmat lehallgatjak?

mennyire jellemzo, hogy titkokat titkositatlan emailben kuldozgetnek egymasnak?

"mennyire jellemzo, hogy mail szerverek kozotti adatforgalmat lehallgatjak?"

Pont annyira, mint ahogy a kliens-szerver vagy kliens-kliens közti kommunikációt.

"mennyire jellemzo, hogy titkokat titkositatlan emailben kuldozgetnek egymasnak?"

Ugye, mi is a "titok"? Egy emailben érkező 2FA auth? Egy elfelejtett jelszó link? Egy árajánlat, megrendelő? Egy bescannelt szerződés?

"Sose a gép a hülye."

"Egy elfelejtett jelszó link? Egy árajánlat, megrendelő? Egy bescannelt szerződés?"

-elviszem a linkedet, és én cserélek jelszót... Utána a fiókhoz tartozó címet cserélem le... Elég, ha a megfelelő levél pár percet "késik".
-Árajánlat, megrendelő, szerződés.. Hint: üzleti titok. Illetve lehet még személyes adat is... 
 

Elméletileg igazad van, de gyakorlatilag a kutya nem nézi a forgalmat két nagyobb DC esetében. Mivel tipikusan jó minőségű switch-ek vannak, még a szomszéd gép sem valószínű, hogy látja, azonos subnet-en. A sok 10 Gbps-os kábelt sem nézegeti a portás, hogy mi megy ki meg be. Azokhoz a drótokhoz jellemzően nem fér Vér István. Nyilván mindenféle szolgálatok előfordulhat, hogy hozzáférnek (tehát szerintem is inkább hasznos a titkosítás), de azért ez is inkább kicsit olyan, mint mikor kamasz vagy és azt hiszed mindenki téged néz, de igazából a kutyát nem érdekled.

https://naszta.hu

mennyire jellemzo, hogy mail szerverek kozotti adatforgalmat lehallgatjak?

Most belenéztem a zeek smtp logjaiba, van benne pár .gov.hu-s cucc ami nem látta szükségességét a TLS-nek. Az egyik mondjuk pont elfelejtett jelszós linket küldözget így ami szerintem sem annyira faszányos. 
(amiben a három delikvens is egyezik az a JavaMail a Message-ID-ben :))

Ha versenyszféra lennék kiszámláznék még 20 milliárdot beszúrnék egy "mail.smtp.starttls.enable=true" sort. (mert úgy rémlik default az false :))

Mintha a JavaMail-nak bármennyi köze is lenne a levélkézbesítéshez, úgy csináltok. :D

A JavaMail az a levél feladásáért felel egy céges belső levelezőszervernek, de ő közvetlenül nem képes még az MX rekordot sem lekérdezni, hogy hova kell kézbesíteni. Még ha LAN-ról TLS-sel is adsz fel (ami localhostra pl felesleges is), az se jelent garanciát arra, hogy az edge SMTP szerver hogy kézbesít.

Srácok-srácok, én értem a humort, de ez most nem volt vicces.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Igen, mindhárom esetben a JavaMail feladja egy belső postfixnak (TLS nélkül), ami kézbesíti (szintén TLS nélkül). 

Csak paranoia kérdése, hogy LAN-on belül érdemes-e titkosítani, szerintem igen. :)

Az meg egy másik kérdés, hogy mennyire kibervédelmi püttypürütty kompatibilis az intranetes Received fejléceket a kiküldött levélben bennehagyni ;)

Igen, pont a .gov.hu alatti levelezés az, ami 1000 sebből vérzik. Rengeteg hivatal, állami szerv. Hozzáértés és szakember hiány miatt nem is értik, hogy mi a baj mondjuk az SSL 3.0-val (megtörtént eset alapján írom).

Ha kellően komolyan vennék ott az IT biztonságot, akkor TLS 1.2-nél gyengébb (cipherekre most nem térek ki) gyengébb SMTP / HTTP kommunikációt nem is kellene engedniük.

( Friczy v | 2025. 10. 30., cs – 17:01 )

Ha csak levél fogadásra van, és nem kell neki auth, akkor minek?

ezek fqdn domain-ek publikus MX-ei.

Azaz levél fogadására vannak. Ezt jelenti, hogy valami publikus MX.

A relayhost nem kötelezően azonos az MX-szel, és jellemzően nem is szokott az lenni.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

( x-daemon | 2025. 10. 30., cs – 17:56 )

kerdes, hogy van-e integritas ellenorzes.

pl. a debian letoltes utan csomagonkent ellenorzi az integritast, johet http-n is.

neked aztan fura humorod van...

jo, de amikor terveztek, nem gondoltak, hogy mimindenre lesz hasznalva, ezert nem tettek bele az integritas ellenorzest.

nagyobb problema, hogy most, hogy mar tudjak, hogy most mire van hasznalva, most sem minden uzemelteto hasznalja a lehetosegeket.

ha nincs ssl, legalabb dkim legyen.

neked aztan fura humorod van...

( YleGreg | 2025. 10. 31., p – 09:36 )

Vajon mennyi energiát lehetne megspórolni, ha 10 éven keresztül a világ összes levele hanyagolná a titkosítást és plain text -ben utaznva, kivéve azokat ahol a tudatos felhasználó PGP titkosítást használ? Mennyire lassabban melegedne a föld?

Vajon mennyi energiát lehetne megspórolni...

És akkor mennyi levelező lenne hirtelen közvetlenül, vagy közvetve open relay? Akkor mennyi spam szabadulna el? Azokat mennyi energia lenne minden switchen, routeren, ASR-en...stb átszállítani, mert MTA oldalon nincs szűrve? Mennyi plusz erőforrás kellene ahhoz, hogy a titkosítás hiánya miatt elszabadult spameket az ISP-k szállítszák, adott esetben ügyfeles postafiókban tárolják, backupolják? Aztán a felhasználók végignézzék? 
Ha címzett oldalon akarod inkább kezelni a spameket, akkor ezen felül mennyi plusz energia a klienseken a spamszűrők futtatása? 

Mennyire lassabban melegedne a föld?

"A megoldásra kell koncentrálni nem a problémára."

( gemnon v | 2025. 10. 31., p – 10:45 )

Vannak nagyobb gondok, az oktatásunk épp kibertámad :

ELTE: https://www.abuseipdb.com/check/157.181.151.89
Békés: https://www.abuseipdb.com/check/195.199.210.194
Tatabánya: https://www.abuseipdb.com/check/195.199.197.147
Böszörmény: https://www.abuseipdb.com/check/195.199.212.141

Még jó, hogy van kibervédelmi törvényünk és hozzá jogászaink (kár , hogy az ellen pont nem véd, de senkit nem hagyunk az út szélén :P)

az első IP érdekes:

ISPEotvos Lorand University of Sciences
Usage TypeUniversity/College/School
ASNAS2012 
Hostname(s)aleph.elte.hu 
 
Domain Namebme.hu
Country🇭🇺 Hungary
CityBudapest, Budapest

most akkor ELTE vagy BME?

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( Raynes v | 2025. 11. 01., szo – 04:10 )

Publikus szolgáltatásnál valóban gáz, belső levelezésnél nem. Ha ennyire zavar a hiánya az adott szolgáltatónál, akkor titkosítsd a leveleid PGP-vel.

“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Szeremcsére nem csak PGP, hanem S/MIME titkosítás is létezik, ami ráadásul szabványos is, és elég sok levelező támogatja, csak hát ilyen tanusítvány izéket kell csinálni, amitől az openszósz huszárok ódzkodnak.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

csak hát ilyen tanusítvány izéket kell csinálni, amitől az openszósz huszárok ódzkodnak.

Rábíznád az életed arra a feltételezésre, hogy ha mondjuk elég magas szinten ki akarnak cseszni veled, akkor a Krajowa Izba Rozliczeniowa nevű közismert root CA nem fog kiadni a támadónak egy certet?

Ne pénzben gondolkodj. Bemegy az AH-s a Netlockhoz, hogy kéne egy tansi, szerinted kapnak? Szerintem* igen.

* Valójában fogalmam sincs, viszont a vektor attól még létezik, és minden szolgálat, nyomozati szerv, stb. és minden root CA kombinációjában valakinek garantálnia kéne, hogy cserkészbecs'szó, nem lesz cert.

És akkor meg is érkeztünk a PKI fundamentális problámájához. (Btw nyilván nem a random user vs. random webshop komolyságú interakcióról van szó, hanem ha már a PGP-vel vetettük össze, akkor legyen megemlítve ilyen is.)

És akkor mi van? Mivel az email-forgalomban nem kötelező a TLS, hanem opcionális, az egyetlen biztos megoldás, ha azt feltételezzük, hogy a levélforgalomban nincs titkosítás, minden más hamis biztonságérzet. Inkább ezt kéne tudatosítani mindenkiben, mint azon keseregni, puffogni, hogy nem tud minden mailserver TLS-t.

A legkomolyabban. Annak idején felmerült, hogy hogyan biztosítható a biztonságos email küldés, természetesen bejött a képbe a TLS mint titkosítás. Végiggondolva az egészet, hogy ahol a fogadó nem tud TLS-t (küldőként természetesen adott volt, hogy beállítjuk), ott ez nincs, tehát opcionális a dolog, akkor végiggondolva a lehetséges eseteket, az volt a tanulság, hogy mivel nem biztosítható, hogy titkosan megy a továbbítás, így egyértelmű, hogy a felhasználókat kell tájékoztatni, hogy az email protokolban nem biztosítható a titkosság, tehát vagy megoldják az end-to-end titkosítást másképp, vagy nem küldenek bizalmas adatot.

PGP-t tudsz akkor is használni, ha a levelező nem támogatja. Persze, kicsit kényelmetlen, mert be kell illesztened az előre megírt email szövegét, azt CLI-ben titkosítani OpenPGP-vel, majd azt illesztgetni a mailkliensbe, sok embernek, akik egybitesek, meg lusta egy GUI gombklikkelősek, azoknak kapásból dealbreaker lehet, de aki biztonságtudatos, annak egy valós alternatíva. Plusz még első használatkor tanúsítványokkal, kulcslétrehozással is kell szívni, természetesen, de ez ott van akkor is, ha a levelezőprogram tudja a PGP-t.

Akár még automatizálni is lehet, hogy bedrótozod gyorsbillentyűre, egy scriptként, kijelölöd a szöveget, gyorsbillentyű benyom, a script lefuttat mindent, titkosít, végül lecseréli a szöveget a titkosított verzióra.

“Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

( derWRK | 2025. 11. 01., szo – 17:26 )

és mit érdemel az akié tud, de csak valamilyen ma már - nem ok nélkül - ritkán látható cipherrel, ami miatt az én tls-es smtp-m bár elkezdi a handshaket, de nem sikerül, és mivel szabvány szerint unencryptedre visszaváltani nem lehet, nem megy el a levél?:)

Jó, hát ilyet én is tudok mondani. :)

Átírja az SMTP bannert MERT ÚRISTEN SECURITY ÉS MEGLÁTJÁK HOGY POSTFIX!!!4 Átírja "mailserver"-re... Amiben nincs benne hogy ESMTP, és ugye rá se próbál a TLS-re a másik oldal, mert ha nem ESMTP, akkor nem is tudhatja.

"Sose a gép a hülye."