Lien Why TLS is better without STARTTLS A Security Analysis of STARTTLS in the Email Context

Posté par Anonyme le 18 août 2021 à 09:17.

Étiquettes : aucune

août

2021

https://nostarttls.secvuln.info/

# Commentaire supprimé

Posté par Anonyme le 18 août 2021 à 09:21. Évalué à 4.

Ce commentaire a été supprimé par l’équipe de modération.
# Dovecot et Postfix OK ?

Posté par Glandos le 18 août 2021 à 13:00. Évalué à 4.

Sur ma Debian/testing à jour, ni Dovecot ni Postfix ne semble affecté. Et j'utilise STARTTLS.

J'ai utilisé leur outil https://github.com/Email-Analysis-Toolkit/command-injection-tester
- [^] # Commentaire supprimé
  
  Posté par Anonyme le 18 août 2021 à 16:11. Évalué à 3.
  
  Ce commentaire a été supprimé par l’équipe de modération.
  - [^] # Re: Dovecot et Postfix OK ?
    
    Posté par gouttegd (site web personnel) le 18 août 2021 à 20:54. Évalué à 6.
    
    Mais, si c'est possible, c'est encore mieux de ne plus l'utiliser au profit du TLS implicite
    
    Pour information, c’est ce qui est recommandé par l’IETF depuis le RFC 8314 (2018).
    - [^] # Re: Dovecot et Postfix OK ?
      
      Posté par Glandos le 19 août 2021 à 11:58. Évalué à 4.
      
      Je précise que la RFC parle bien de 3 protocoles :
      - IMAP
      - POP3
      - SMTP submission (port 587)
      
      Et SMTP relay (port 25) est bien exclus dans l'introduction, qui cite DANE ou bien MTA-STS
      - [^] # Commentaire supprimé
        
        Posté par Anonyme le 19 août 2021 à 15:43. Évalué à 3. Dernière modification le 19 août 2021 à 15:48.
        
        Ce commentaire a été supprimé par l’équipe de modération.
        
        [^] # Re: Dovecot et Postfix OK ?
        
        Posté par gouttegd (site web personnel) le 19 août 2021 à 21:01. Évalué à 5.
        
        Et pourtant j'ai bien l'impression que les gros acteurs comme gmail n'utilisent ni DANE ni DNSSEC.
        
        Pour Google, tout ce qui utilise de près ou de loin DNSSEC, c’est le Mal™. Ils ne l’utiliseront jamais.
        
        À la place, ils utilisent STS-MTA (RFC 8461), qui a « l’avantage » de nécessiter l’ajout d’un serveur web dans la boucle (tout plutôt que de devoir utiliser DNSSEC) et de forcer l’utilisation d’un certificat émis par le cartel des CA.
        
        [^] # On achève bien les protocoles
        
        Posté par devnewton 🍺 (site web personnel) le 21 août 2021 à 21:56. Évalué à 3.
        
        Vu le nombre de bidouilles qu'il faut pouvoir avec du SMTP correct, est-ce qu'il ne faudrait pas carrément le remplacer ?
        
        C'est déjà en cours côté MUA avec s/(imap|smtp|pop)/jmap/.
        
        Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.