home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3892 < prev    next >
Encoding:
Text File  |  1992-07-29  |  1.8 KB  |  47 lines

  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!stan!imp
  3. From: imp@solbourne.com (Warner Losh)
  4. Subject: Re: SMTP mail
  5. Message-ID: <Bs5toz.Hv7@solbourne.com>
  6. Organization: Solbourne, User Interface Group
  7. References: <92209.190519KKEYTE@ESOC.BITNET> <1992Jul29.021534.6708@mp.cs.niu.edu> <92211.092548KKEYTE@ESOC.BITNET>
  8. Date: Wed, 29 Jul 1992 16:55:46 GMT
  9. Lines: 36
  10.  
  11. In article <92211.092548KKEYTE@ESOC.BITNET> Karl Keyte
  12. <KKEYTE@ESOC.BITNET> writes:
  13. >& that's not a security hole?
  14.  
  15. No.  It is an authentication hole.  It's not as if it give anybody
  16. unauthorized access to your machine, or prevent others from accessing
  17. your machine.
  18.  
  19. >It is if you want to believe mail that you receive.
  20. >Paper mail is usually signed.  The point is, SMTP is stupidly
  21. >simple (as we all know) in it's "authentication".  My question still
  22. >stands.
  23.  
  24. SMTP is does not provide any authentication.  Neither does paper mail.
  25. It is quite easy to forge both, but they are the best that we have
  26. right now.  How do you know that the signature in paper mail is cool
  27. or not?  Some people that you communicate with all the time maybe, but
  28. just a random piece of mail?  SMTP is the same way.  Its message have
  29. a weak "signature" on them in the form of Received: lines.
  30.  
  31. You might want to investigate using an RFC931 server.  It will make it
  32. harder to forge the mail.
  33.  
  34. You might also want to see what the state of the art in PEM is these
  35. days.  PEM doesn't prevent forgeries, but it does have a much stronger
  36. digitial signature coded into the message itself.
  37.  
  38. There is absolutely NOTHING that you can do that will prevent all
  39. kinds of forgeries.  There are things that you can do to make it
  40. harder to forge mail, but NOTHING is 100% secure.
  41.  
  42. Warner
  43. -- 
  44. Warner Losh        imp@Solbourne.COM
  45. Interview Horror Story #882: "It's pretty informal around here.
  46. Thursdays are clothing optional.."
  47.