Je hebt een klacht over de onderstaande posting:
Door Anoniem: Door Anoniem 22-5-2021 22:50: MX servers (als clients) accepteren vaak self signed certificaten of plain text mail. Dan valt er niets na te trekken bij CA's. De standaard Debian configuratie van Exim accepteert mail ongeacht of het type certificaat (self-signed of CA). Het is duidelijk nodig dat mail servers naar een hoger niveau van beveiliging moeten worden getild. Het huidige niveau ligt ver onder dat van web servers/browsers. Dat kan veel beter. Het helpt niet dat grote mail providers vatbaar zijn voor striptls aanvallen. Iemand zou het lef moeten hebben een RFC te maken die STARTTLS met CA certificaat op redelijke termijn verplicht stelt, in ieder geval voor MX verkeer over Internet.Nog een RFC? We hebben er al twee: Bij MTA-STS wordt de mailserver geacht een CA certificaat te hebben... Bij DANE is dat niet (per se) nodig en kun je een self-signed cert gebruiken, echter staat hiervan een hash in de TLSA - die DNSSEC gesigned moet zijn. In beide gevallen wordt dus STARTTLS afgedwongen én ...
Beschrijf je klacht (Optioneel):