使用 DANE 保护电子邮件通信。
默认情况下,SMTP 未加密,可能会使恶意攻击者窃听电子邮件通信。DANE 和 TLSA 通过确认邮件交换服务器的身份来记录安全的 SMTP 电子邮件。
SMTP 的问题
SMTP 依赖于多个 DNS 解析器和多个邮件交换服务器。DNS 解析器和邮件服务器的复杂网络使得连接暴露于 DNS 攻击(例如缓存中毒)和网络攻击(例如中间人)。
- 可以欺骗 MX 记录、A 记录和其他 DNS 资源记录
- 由于 SMTP 未加密且未经身份验证,恶意攻击者可以轻松窃听电子邮件通信
SMTP 加密是一个选项,但它必须由发送方和接收方启用,即使这样,中间人也可以通过欺骗未加密的 DNS 服务器并将流量重定向到恶意域来绕过该选项。
DANE 和 DNSSEC 解决了 SMTP 问题
DNSSEC 保护 DNS,DANE 保护网络。DANE 确保正在通过正确的服务器与正确的证书进行通信。
- DNSSEC 允许信任邮件交换服务器并相信 TLSA 记录准确指向正确的证书
- DANE 的 TLSA 记录标识证书或 CA
- 实施电子邮件通信的安全性