Ruby on rails 即使在同一台计算机上,使用不带SSL/TLS的SMTP发送电子邮件是否不安全?
我正在编写一个rails应用程序,我必须在其中发送电子邮件(用于密码重置/联系表单等)。我可以在没有SSL/TLS的情况下让电子邮件正常工作,但使用SSL/TLS时,它总是会导致超时 我的问题是,不使用SSL/TLS有多不安全?如果我的rails应用程序和邮件服务器位于同一台机器上,不使用SSL/TLS不是问题吗?使用SSL/TLS不意味着只有我的rails应用程序和邮件服务器之间的通信是不安全的,但邮件服务器和收件人之间的通信仍然是安全的吗 以下是我的铁路邮件配置,仅供参考。你觉得这有什么不对吗Ruby on rails 即使在同一台计算机上,使用不带SSL/TLS的SMTP发送电子邮件是否不安全?,ruby-on-rails,security,email,ssl,smtp,Ruby On Rails,Security,Email,Ssl,Smtp,我正在编写一个rails应用程序,我必须在其中发送电子邮件(用于密码重置/联系表单等)。我可以在没有SSL/TLS的情况下让电子邮件正常工作,但使用SSL/TLS时,它总是会导致超时 我的问题是,不使用SSL/TLS有多不安全?如果我的rails应用程序和邮件服务器位于同一台机器上,不使用SSL/TLS不是问题吗?使用SSL/TLS不意味着只有我的rails应用程序和邮件服务器之间的通信是不安全的,但邮件服务器和收件人之间的通信仍然是安全的吗 以下是我的铁路邮件配置,仅供参考。你觉得这有什么不对
config.action_mailer.delivery_method = :smtp
config.action_mailer.smtp_settings = {
address: 'secure.mailserver.com',
port: 465,
user_name: 'no-reply@mydomain.org',
password: 'password',
enable_starttls_auto: true,
authentication: "plain"
}
如果我的rails应用程序和邮件服务器位于同一台机器上,不使用SSL/TLS不是问题吗
一般来说,从localhost
到localhost
使用SSL/TLS没有什么意义
使用SSL/TLS不意味着只有我的rails应用程序和邮件服务器之间的通信是不安全的,但邮件服务器和收件人之间的通信仍然是安全的吗
您的邮件服务器(The)和收件人之间的通信不能被认为是安全的(MSA和MTA通常不在它们之间使用SSL/TLS,或者至少您永远不能做出这种假设)
如果您希望收件人的电子邮件安全,请使用邮件级别加密(例如S/MIME)
邮件用户代理(您的Rails应用程序或Thunderbird…)和MSA(它所连接的服务器)之间的SSL/TLS加密通常在您需要提供密码以对该服务器进行身份验证时非常有用。它对于一般传输级别的安全性也很有用,至少可以抵御位于用户代理和服务器之间的潜在攻击者(例如,如果您在公共网络上)
在您的配置中,您使用的是端口465和STARTTLS。通常,端口465用于SMTPS(SSL/TLS上的SMTP,其中首先建立SSL/TLS通道),而端口587用于SMTP+STARTTLS(在通过
STARTTLS
升级到SSL/TLS之前存在一些普通SMTP通信)。(更多详细信息。)您应该假设邮件从根本上是不安全的。您可能正在使用安全通道与邮件服务器通信,但您无法控制邮件在其路由上的任何服务器上发生的情况。您的MTA服务器“secure.mailserver.com”是否首先支持SSL/TLS?