我正在编写一些Linux代码,这些代码需要发送电子邮件。我的问题是: 当我确实使用STARTTLS(msmtprc中的starttls)时,使用纯身份验证(auth plain)是否安全?是连接 a)发送密码之前已加密?要么 b)发送密码,然后建立加密?
我采用第一个解决方案(a),但我想确保没有简单的密码通过网络传播。
此外(这是一个附带问题),我认为即使STARTTLS处于打开状态,这通常也不是强制性的,而且我听说中级攻击者可以将该连接“降级”以禁用TLS。是真的吗这里的问题是:我应该做进一步的测试以确保只能与SMTP服务器建立加密的连接吗?
这是我的msmtprc:
account default
host my-smtp-server.pl
tls on
tls_certcheck off
tls_starttls on
port 587
auth on
from my-email@mydomain.pl
auth plain
user username
password p@$$w0rd