Tip:互联网社会的下水道-邮件系统的良心建设

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3767 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近搞34nm,发现电子邮件系统的水其实非常深

然后发现了防止邮件系统中间人攻击的STARTTLS协议
和一个推广STARTTLS的网站

https://starttls.info

测了一圈国内知名网站,(某数字,某度,某企鹅,某易,某狐)全部不支持STARTTLS,
也就是说大家的邮件在和*国内服务商*之间传递时是明文的,没有任何隐私可言,
运营商和某宝想看就看,想获得帐号就获得帐号,让我想起诸多*权人士,没准是和国内人士通信时暴露了自己....

相比之下,某乎和v2ex因为用了Google Apps,所以没有啥问题....

和现在的社会真是高度吻合啊,帝都高楼四处建,暴雨之后各种淹.
-----
我只能呵呵,然后继续添加STARTTLS模块去了

第 1 条附言 · 2014-07-24 23:25:17 +08:00

starttls.info的测试不公开

http://www.checktls.com/perl/TestReceiver.pl

这个公开测试结果

QQ确实100%通过了,得了A

163证书有问题

sohu,baidu,360,aliyun集体FAIL

starttls

邮件

帐号

23 条回复 • 2014-07-28 21:50:00 +08:00

est

2014-07-24 00:05:49 +08:00 via Android

邮件系统水相当深啊。coremail

mengzhuo

2014-07-24 00:10:05 +08:00

@est

一想到原来邮件不是这么保密的,就想到那么多私密图都让国宝的人看了...
唉...

coremail这分数

https://starttls.info/check/coremail.cn

还是自签名的...噗

SoloCompany

2014-07-24 00:55:35 +08:00

@mengzhuo 你确定是自签名的？没有其它工具的情况下，也可以用 curl 来检查服务器是什么证书

ehs2013

2014-07-24 06:07:21 +08:00

QQ 邮箱是支持这个功能的，使用 Live Domain 的域名邮箱除了证书域不匹配也没什么大问题

mengzhuo

2014-07-24 07:14:01 +08:00

@SoloCompany

自签名导致无法验证的话和没有加密,其实是一样的
中间人攻击照样搞定...

@ehs2013

嗯,QQ确实支持...原来这网站还会用上次的查询结果...得刷新一下.

nopy

2014-07-24 08:59:37 +08:00

刚才在QQ上分享34nm.com 发现被安全联盟拦截了…去申诉一下吧：）

SoloCompany

2014-07-24 09:11:56 +08:00 via Android

@mengzhuo 我的意思不是说自签名安全，而是说不是自签名啊，可能只是域名不匹配，你真的验证过？

ajsky

2014-07-24 09:22:37 +08:00

邮件的水相当深折腾过一段时间的邮件国内的几个免费的基本上没安全的

mengzhuo

2014-07-24 10:48:40 +08:00

@nopy

破安全联盟
提交申请个https都不认识,
硬是要http://开头，
然后域名也是www.XXX
然后这货竟然也在做伪EV认证，欺负国人见识浅是吧%……
话说QQ浏览器是吃了多少回扣，才肯做这个屎一样的功能

34nm已经全部升级成SSL了

mengzhuo

2014-07-24 10:53:19 +08:00

@SoloCompany

我没有亲自写代码去验证，但是按照那个网站的结果，自签名确实会影响得分
域名不匹配时因为他们懒吧，Google, Apple, IBM等一流大厂都能通过

a2z

2014-07-24 12:30:50 +08:00

就算邮件服务器之间用了tls，想看还是能看到内容。打个电话就能把你邮箱整个复制一份发过去了。要想安全用PGP。

NemoAlex

2014-07-24 13:45:34 +08:00

安全联盟就是互联网黑社会，要给保护费才行

Herac1es

2014-07-24 16:02:43 +08:00

谷歌的透明度报告显示国内邮件确实基本上不加密http://www.google.com/transparencyreport/saferemail/?hl=zh-CN

ProfFan

2014-07-24 19:39:25 +08:00

@mengzhuo 话说QQAvatar是不是您的作品啊，关注博客很久了呢

mengzhuo

2014-07-24 20:10:51 +08:00 via Android

@ProfFan
对啊，是我大学时候写的

RangerWolf

2014-07-24 20:22:31 +08:00

@Herac1es 看了google的透明度报告专门看了163的~ 数字基本上是100% 不知道这是否代表安全？不知道自己理解错了没有

Herac1es

2014-07-24 21:33:51 +08:00 via iPad

@RangerWolf 这个报告刚出来那会我专门搜了腾讯网易，那时候都是0%。可能现在改了

mengzhuo

2014-07-24 22:26:43 +08:00

@Herac1es

QQ确实100%通过了,得了A

163证书有问题

sohu,baidu,360,aliyun集体FAIL

RangerWolf

2014-07-25 10:07:03 +08:00

@mengzhuo 曾经网易到我校校招的时候，说qq的邮箱系统还是他们创建的。。。
@Herac1es 多谢

julyclyde

2014-07-25 22:47:31 +08:00 via iPad

服务器间通信加密意义不大。有能量窃听的照样有能力解密
服务器要的是吞吐量

mengzhuo

2014-07-25 23:14:57 +08:00

@julyclyde

SMTP支持客户端直接发送的, 如果没有加密只有呵呵呵了.
有能力窃听国内这些服务器,运算能力肯定全国第一的某墙到现在也没整好SSL/TLSv1,可见难度还是很大的.

吞吐量? 那点加密握手数据比起邮件本身可小多了.
再说了,时刻需要保证安全完整,不被窃听的通讯是IT界的常识.

julyclyde

2014-07-28 17:28:33 +08:00

@mengzhuo 现代邮件系统的架构里，submission和mail exchange两套SMTPd一般都是分开的。服务器之间明文交互我不认为有啥问题

mengzhuo

2014-07-28 21:50:00 +08:00

@julyclyde

>>> 服务器之间明文交互我不认为有啥问题

-----------------
所以我说这是下水道,不出问题的时候大家都不会想到加密啊什么的.

在骂市政规划的没有挖够下水道的时候,是不是也该反思自己没有挖到的地方呢?