[轉載] SMTP不夠安全，Gmail開始採用MTA-STS標準以驗證連線

由於傳輸電子郵件標準SMTP僅採用機會性加密（Opportunistic encryption），使得連線不夠安全，因為當雙方連線建立時，傳送端會嘗試請求使用加密連線，接收端支援加密則連接會直接開始加密，但過程卻不會進行身份驗證，而且當接收端不支援加密時，便會直接退回明文通訊機制，Google還提到，許多SMTP伺服器不會阻止特定類型的攔截電子郵件惡意攻擊，因此只使用SMTP協定，則很容易遭受中間人攻擊，使用者電子郵件可能在未被發現的情況下，於兩個伺服器間傳輸被攔截，並且遭到竄改。

三年前，IETF內部開始合作，參與者包括Google與其他大型電子郵件服務供應商，發展以MTA-STS與SMTP TLS兩種技術，全面強化電子郵件的安全性。在網域中採用MTA-STS技術意味著，郵件伺服器會要求外部郵件伺服器發送訊息，驗證SMTP連線是否使用有效的公共憑證，以及使用TLS 1.2或更高版本進行加密。

MTA-STS也能與TLS Reporting結合使用，TLS Reporting讓郵件伺服器可以向外部郵件伺服器請求報告，以了解外部郵件伺服器以MTA-STS政策發送信件，成功與否的資訊。Google表示，他們是第一個使用新標準的主要電子郵件服務供應商，在4月10日開始Beta測試。