12306 没有加密邮件？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

工单节点使用指南

• 请用平和的语言准确描述你所遇到的问题

• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类，尊重是相互的

• 如果是关于 V2EX 本身的问题反馈，请使用反馈节点

这是一个创建于 2400 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天从 12306 客户端买票，通知邮件却好像是没有通过加密直接明文传输的，这样会泄漏客户信息。建议你们加密一下邮件，用基于 TLS 的电子邮件协议

图： https://imgur.com/a/brQuYNs

邮件

加密

TLS

泄漏

8 条回复

lance6716

2018-04-20 18:24:29 +08:00 via Android

现在 V2EX 的工单都可以接国企了吗…

iwtbauh

2018-04-20 18:32:24 +08:00 via Android

@lance6716 额，不行吗，我不知道，抱歉了

lance6716

2018-04-20 18:43:13 +08:00 via Android

@iwtbauh 啊我的意思是这里只是各厂员工逛的时候会看到，并不是一个联盟一类的东西

另外我看到过 12306 客服是有效的，你可以直接联系官方客服

eric

2018-04-20 19:00:22 +08:00

电子邮件默认就是不安全的。要确保安全性请使用 PGP。

iwtbauh

2018-04-20 20:05:54 +08:00 via Android

@eric 不啊，现在邮件传输都是把 SMTP 之类的基于 TLS 的，这样保证邮件内容不会在 MTA 之间传送时被其他人截获 /篡改。
用 PGP 对邮件内容内容加密和这个不是同一会事

iwtbauh

2018-04-20 20:12:31 +08:00 via Android

@eric 而且这个时候没法 PGP 啊，那样需要将我的公钥提供给发件方。但是对方不太可能提供一个接口允许上传公钥。而使用 TLS 的 SMTPS 协议就像 https 一样，邮件在 MTA 传输利用了 TLS，这样至少可以保证 MTA 之间是一般不存在被劫持的可能。同时发件方相当于客户端，并不需要购买和部署证书等问题，使用任何支持 SMTPS 的邮件软件就可以了，可以说没有成本。而且你可以打开你的 gmail，看看几乎没有公司发的邮件是未加密的，都是显示“标准加密(TLS)"

eric

2018-04-20 20:31:59 +08:00

@iwtbauh 这样的前提是你能够确保 relay 邮件的每一个 MTA 都部署并正确配置了 TLS，而这是没有可行性的。电子邮件是明信片。寄明信片的时候想确保邮递员不会看到里面的内容，自己套一层信封就好了。

iwtbauh

2018-04-20 21:03:45 +08:00 via Android

@eric 不是吧，我的问题并不是我想确保邮递员不会看到邮件内容，受于条件限制我只能信任邮递员。不过这种邮件不会在公网上被 relay 吧，不然没法通过 SPF 吧。问题在于，明文数据直接在公网上传输，发件服务器 /收件服务器的 ISP，骨干网上的用户都能随意看到和篡改邮件内容，这个是 IP 级的，任何使用 TCP/IP 的应用程序都有这个问题，不是应用层的问题，所以 TLS 是很有必要的