Je hebt een klacht over de onderstaande posting:
Ik vraag me af of die mensen die dit bedenken snappen hoe SMTP werkt met STARTTLS. Als je een MitM aanval doet, kun je de hele encryptie uitschakelen door bijvoorbeeld STARTTLS te verwijderen uit de greeting response, de enige optie daartegen is het blokkeren van het verzenden van email als er geen STARTTLS is. Je kunt nog effectiever en transparanter het certificaat vervangen door een self-signed exemplaar. Er is niets dat controleert of dat certificaat in orde is bij een CA. Self-signed wordt gewoon geaccepteerd. Om te beginnen moeten alle SMTP gebruikers een CA certificaat gaan gebruiken en afdwingen. Dat is praktisch niet haalbaar, maar servers zouden er wel aan moeten gaan voldoen. Daarnaast moet TLSA (DANE) en CAA in DNS worden geimplementeerd. TLSA signed het verkeer over de poort met het certificaat en CAA zegt wie de CA is voor het domein. TLDR; een secure protocol gebruiken is onvoldoende als je niet weet waar je mee praat
Beschrijf je klacht (Optioneel):