今天,SMTP.com的支持代表告诉我,无论我们是通过SSL还是非SSL连接,数据都是安全的,就像通过SSL一样。我不是天才,但我也不是一个完全白痴。而且我有一种强烈的感觉,这个人只是在给我虚假的信息。
有人可以为我澄清一下,如果我使用php邮件功能,或phpmailer类发送电子邮件,我通过端口25连接,使用不安全的连接,是否有任何机会黑客可以访问该信息恶意目的?
如果我错了,而且SMTP.com是正确的,那么为什么甚至可以通过SSL和非SSL发送?如果它真的安全吗?
供参考,以下是对话的记录:
Stan L:嗨,谢谢你的支持。我该怎么帮你?你:嗨斯坦,我注意到大约一小时前通过我们的SMTP.com帐户发送的电子邮件已经停止了。来发现这是因为我们通过SSL端口465提交主机smtp.com。
您:检查了设置并注意到它应该是retail.smtp.com,并且由于某种原因加密已关闭。
你:我的问题是,为什么它一直在运作到现在?
您:其次,我们如何确保通过smtp.com发送的每封邮件都被加密?
Stan L:因为有时它适用于加密和错误的端口,但可能会发生意外错误。您不需要使用加密,因为您在连接到我们的服务器时使用SASL身份验证作为保护。所以请使用这些端口:25。2525. 25025. 80
你:好的,斯坦。谢谢。问题虽然......
你:对于这些技术方面我不是天才,但据我所知,如果我们希望黑客无法访问数据,它应该通过SSL。
你:?
Stan L:难以接近你的意思是什么? 通过我们的服务器发送的所有数据都受到保护,没有人可以从外部访问它。你:好的,太棒了。问题
您:如果是这种情况,那么为什么SSL甚至可以作为选项?
您:为什么通过SMTP的SSL甚至可以作为phpmail中的设置使用?
Stan L:因为有时它无法在几个旧软件中使用您:好的,我只是在StackOverflow上发布此对话,看看开发者是否还有其他评论。对我来说这是不合理的。
Stan L:好的确定
Stan L:你能提供你的客户ID还是登录?
你:当然,你肯定告诉我100%肯定如果我们通过端口25,retail.smtp.com连接,那么黑客可能无法取消这些信息吗?
Stan L:是的,所有数据都由我们的系统保护。
Stan L:您还可以提供您的客户ID或登录吗?你:谢谢你。
答案 0 :(得分:2)
有可能像他们所说的那样使用SASL加密所有流量,但区别在于学术界,因为PHPMailer不支持SASL进行身份验证或任何后续流量,但支持SSL和TLS。因此,如果您使用PHPMailer向他们发送并且您未使用SSL或TLS,则您的流量不正在加密。众所周知,SMTPS(端口465上的显式SSL)在1998年已被弃用,因此SMTP + STARTTLS是可以使用的,并且可以在任何端口上运行,尽管587通常用于提交。
AFAIK,STARTTLS与SASL无关。 SMTP + STARTTLS优于SMTPS的一个优点是它可以与同一端口上的非加密流量共存,因此您可以连接到不安全的端口(例如,25),然后发送STARTTLS命令,从那时起它是加密的,您通常可以安全地使用AUTH PLAIN登录等内容。
如果您的本地邮件服务器被配置为适当地中继,验证和连接到smtp.com服务器,那么在使用mail()功能时可以间接使用SASL,即它不是一个PHP的东西。