SMTP扩展功能：STARTTLS和DANE

SMTP的全称是……简单邮件传输协议SMTP是一种应用层协议。当客户端需要发送邮件时，它会与SMTP服务器建立TCP连接，然后通过该网络连接来发送邮件。这种连接是通过端口25由SMTP服务器来建立的。

什么是SMTP扩展功能呢？

SMTP扩展功能指的是…对用于发送电子邮件的基本协议——简单邮件传输协议（SMTP）进行了改进。它们增加了一些额外的功能与特性，比如支持更大的电子邮件附件、通过加密技术实现安全的传输方式，以及更有效的身份验证机制。这些扩展功能使得电子邮件通信更加灵活、安全且高效，从而提升了整个电子邮件系统的整体性能。

SMTP协议有两种类型：端到端方式以及存储转发方式。SMTP的进一步扩展还包括了其他各种方式。

1. STARTTLS
2. 丹恩

目录

• 需要使用 STARTTLS 和 DANE 的功能。
• STARTTLS
• 丹恩
• 关于SMTP扩展的常见问题解答

需要使用 STARTTLS 和 DANE SMTP 扩展功能

• 最初，当……的时候简单邮件传输协议（SMTP）被采用后，所有的消息都是以纯文本的形式进行传输的。消息数据并未使用任何加密方法和算法来保护其安全性。
• 任何试图未经授权就窃取或查看数据的人，都能读取两台服务器之间传输的实际数据内容。
• 后来，Extend SMTP（ESMTP）使得能够传输加密后的数据，而不再只是发送简单的明文数据。
• 并非所有服务器都需要进行加密处理，因为并非所有服务器都能支持传输过程中的加密功能。
• 为了向发送服务器表明加密功能的有效性，接收服务器必须在ESMTP传输会话开始时发送“STARTTLS”关键字。这是一项强制性要求。

STARTTLS：SMTP扩展功能

STARTTLS是一种升级后的协议，它提供了一种加密连接的方式，从而可以保护网络上的电子邮件消息，避免被未经授权的用户访问。 STARTTLS可以加密从一台服务器传输到另一台服务器的数据。 当两台服务器之间建立了安全连接后，发送方服务器会向接收方服务器发送信号，表明其具备进行加密处理的能力。 这意味着，加密只能在进行通信的发送方和接收方服务器之间协商之后才可以进行。

STARTTLS仍然容易受到一些攻击，比如“中间人攻击”。在这种攻击中，攻击者会站在发送方和接收方服务器之间，假装成合法的用户。由于SMTP没有提供其他安全机制，因此SMTP服务器无法识别出这种攻击行为。结果，发送方服务器就会与错误的服务器进行通信。

STARTTLS SMTP扩展功能的运作方式：

下图描述了STARTTLS的工作原理。

• SMTP协议中的消息都是未加密的。而在STARTTLS协议中，消息会被加密处理，从而确保安全性。以下是根据上述图示所描述的STARTTLS工作原理的步骤。
• 首先，为了识别电子邮件客户端和服务器，该过程从TCP（传输控制协议）开始。握手.
• 然后，服务器向客户端返回“220 Ready”的响应，这样电子邮件客户端就可以继续进行后续通信了。
• 然后，客户端向服务器发送一条“EHLO”消息，以表明客户端希望使用扩展的SMTP协议来进行后续通信。
• 然后，客户端向邮件服务器发送“250-STARTTLS”这个请求。该请求用于询问是否允许使用STARTTLS协议进行通信。
• 如果服务器返回了“GO HEAD”的消息，那么就可以实现STARTTLS连接了。
• 当客户端从服务器接收到消息后，客户端会重新建立连接，此时邮件信息将以加密的形式被传输。

Dane SMTP扩展功能

DANE代表基于DNS的身份验证技术。DANE被用作一种安全认证方式。DNS这是一种用于存储可用于多因素验证的通用、可验证信息的基础设施。 DANE协议利用DNS系统来存储关于该域名所使用的证书颁发机构的信息，从而确保域名能够受到有效的保护，避免安全漏洞的发生。 DANE可以将整个证书，或者仅包含公钥的部分内容，存储在一个DNS记录中。该DNS记录会指明用于通过TCP端口443进行连接的证书或公钥的具体信息。 今天，DANE主要被用于TLSA（传输层安全认证）的记录类型。这种记录类型的作用是通过在DNS中查询相关信息来验证从网站接收到的PKIX证书的有效性。

DANE SMTP扩展功能的运作方式：

下图描述了DANE协议的工作原理。

在DANE的运作过程中，主要涉及三个系统：客户端、Web服务器和DNS服务器。它们之间的通信过程遵循以下步骤：

• 步骤1：客户端的浏览器首先与Web服务器建立连接。例如，客户端会连接到https://www.exampleabc.com。
• 步骤2：网络服务器随后向客户端发送其证书。
• 步骤3：客户向本地DNS服务器请求www.exampleabc.com的TLSA（传输层安全认证）记录。
• 步骤4：DNS服务器随后会执行常规的DNS查询，以获取www.exampleabc.com的TLSA记录，并验证查询结果。

一旦客户端接收到经过验证的TLSA记录，客户端的浏览器就会计算该TLSA记录中的数值与从网络服务器接收到的证书中的数值进行比较。如果这两个数值不匹配，那么网页浏览器会显示一条警告消息，并拒绝加载该页面。