Warum ist SMTP über SSL zwischen E-Mail-Servern nicht so beliebt? [geschlossen]

Nach meinem Verständnis verwenden die meisten E-Mail-Server SMTP / POP / IMAP über SSL, um die E-Mail zu verschlüsseln.
Es unterstützt die Verschlüsselung, wenn Client (UA) E-Mails an Server (MTA) senden und UA E-Mails von MTA empfangen. Allerdings können nicht so viele MTAs verschlüsseln, wenn sie E-Mails zwischen MTA und MTA senden.
(Ist mein Verständnis richtig?)

zB alice@somewhere.com E-Mail an bob@anywhere.org senden
[Alice's PC] --- verschlüsselt (SMTPS) ---> [irgendwo.com Server] --- NICHT ENCRYPTED (SMTP) ---> [irgendwo. org server] --- verschlüsselt (POPS oder IMAPS) ---> [Bob's PC]

Wenn mein Verständnis richtig ist, warum unterstützen die meisten E-Mail-Server SMTP über SSL zwischen E-Mail-Servern nicht?

Ich entwickle eine bessere (weniger komplexe) Schnittstelle, um die E-Mail-Verschlüsselung mit PGP / GPG zu ermöglichen, aber heutzutage denke ich, dass es möglicherweise besser ist, SMTPS zu verwenden, da PGP / GPG eine manuelle Schlüsselsignatur benötigt, um die Zuverlässigkeit zu gewährleisten.

— Jumpei Ogawa
quelle

Was hat das mit E-Mail-Verschlüsselung zu tun? E-Mail-Verschlüsselung bedeutet für mich, dass die E-Mail selbst verschlüsselt wird ...

— Uwe Plonus

?? Entschuldigung, ich habe nicht verstanden, was du meinst ... Wie "E-Mail wird alleine verschlüsselt"? Nach meinem Verständnis können E-Mails leicht abgefangen werden, wenn Sie E-Mails als Klartext (ohne Verschlüsselung) senden.

— Jumpei Ogawa

Ja, aber das Senden einer verschlüsselten E-Mail hat nichts mit der SSL / TLS-Verschlüsselung des SMTP-Servers zu tun.

— Uwe Plonus

Um sicherzustellen, dass Sie E-Mails nur über einen verschlüsselten Kanal auf Ihrem SMTP-Server empfangen, müssen Sie die Verwendung von TLS erzwingen . Wenn die andere Partei TLS nicht versteht / unterstützt, erhalten Sie Ihre E-Mail nicht. Wenn Sie einen Fallback für unverschlüsselte Kommunikation zulassen, haben Sie nichts erreicht. Aus diesem Grund entscheiden sich die Benutzer lieber dafür, die E-Mail selbst zu verschlüsseln und über einen unverschlüsselten Kanal zu senden.

— Der Hochstapler

Zur Verdeutlichung: "verschlüsselte E-Mail" bezieht sich auf die Verschlüsselung des Inhalts mit etwas wie PGP, bevor Sie ihn überhaupt an Ihren Postausgangsserver senden. Dies hat den zusätzlichen Vorteil, dass es vor jedem geheim gehalten wird, der Ihren MTA betreibt. Es bezieht sich nicht auf die Verschlüsselung der E-Mail zwischen MTAs. Die Verschlüsselung wird normalerweise nur an den Enden angewendet, nicht in der Mitte. Beachten Sie auch, dass bei der Kommunikation zwischen UA und MTA häufig ein Kennwort übertragen wird, das ohnehin verschlüsselt werden sollte.

— cpast

Gute Frage, ich habe wirklich keine Zahlen dafür gesehen. Ich bin mir nicht sicher, aber ich denke, dass viele große Unternehmen jetzt SSL / TLS für eingehende und ausgehende SMTP ("MX" -E-Mail-Zustellung) unterstützen. Dies ist normalerweise optional und kann über StartTLS an Port 25 ausgehandelt werden. Die meisten SMTP-Server erfordern jedoch kein Server-zu-Server-TLS, da dies bedeuten würde, dass viele keine E-Mails von einem MTA empfangen können, der nicht unterstützt oder nicht konfiguriert ist für TLS.

Viele E-Mail-Clients unterstützen TLS zwischen UA und MTA - entweder SMTP / IMAP über SSL oder POP3 über SSL. Ich denke, Google Mail erfordert zum Beispiel SSL / TLS für IMAP und POP3.

In Bezug auf die tatsächliche End-to-End-E-Mail-Verschlüsselung wird dies normalerweise mit S / MIME oder PGP erreicht. Aufgrund der Komplexität bei der Einrichtung und Verwaltung wurde es jedoch nicht in großem Umfang angenommen.

— Wollhirn
quelle

Vielen Dank. Also mein Verständnis für den aktuellen Stand der E-Mail-Verschlüsselung. Sie meinen, Server-zu-Server-SMTPS wird auf vielen Servern nicht unterstützt, weil Serversoftware wie Postfix dies nicht unterstützt? Wenn die meisten Mailserver dies unterstützen, wird das Problem gelöst? (Vielleicht verstehe ich Ihre Antwort nicht richtig ...)

— Jumpei Ogawa

Selbst wenn die Verschlüsselung ausgehandelt wird, erfolgt normalerweise keine strikte Überprüfung der Zertifikate, da dadurch alle Server mit selbstsignierten Zertifikaten blockiert würden. Aber ohne strenge Kontrolle ist ein Man-in-the-Middle-Angriff einfach (ganz zu schweigen davon, dass ein MITM STARTTLS durch Eingreifen in die Klartextphase verhindern könnte)

— Hagen von Eitzen

RFC 2487 verbietet öffentlichen Mailservern, TLS zu benötigen: "Ein öffentlich referenzierter SMTP-Server darf NICHT die Verwendung der STARTTLS-Erweiterung erfordern, um E-Mails lokal zuzustellen. Diese Regel verhindert, dass die STARTTLS-Erweiterung die Interoperabilität der SMTP-Infrastruktur des Internets beeinträchtigt."

— ARX