SASL (Simple Authentication Security Layer)简单认证安全层
基本的SMTP协议是不带身份认证功能的。很容易匿名中转邮件。即使限制了可以转发的网段,也不安全。他的定义是: a method for adding authentication support to connection-based protocols,为此必须为SMTP补充其他的身份认证机制。
RFC 2554“SMTP Server Extension for Authentication”制定了如何在基本SMTP协议上增加身份认证功能的机制,此机制使的SMTP能使用SASL协议来验证客户端身份。
Cyrus SASL 是有Carnegie Mellon 大学开发的函数库。此函数库支持多种验证机制,至于要使用哪种验证机制,需要根据应用来选择。
以下是一些比较常见的机制:
PLAIN
PLAIN是最简单的认证机制,身份证书是以bases64编码通过网络传输,没有任何加密保护措施
LOGIN
Login 不是正式支持的机制,但是某些旧版的MUA使用这种机制
OTP
OTP是使用"一次一密"(One-Time Passwords,其前身为S/Key)的验证机制。此机制不提供任何加密保护功能,也没有必要(因为一个密码只能用一次)
DIGEST-MD5
此机制的密码不需要通过网络传输,client和server共享一个隐性密码(secret password)
KERBEROS
Kerberbos是一种网络型的验证协议。需要架设kerverbos验证中心
ANONYMOUS
Anonymous对SMTP没有意义,因为SMTP验证的用意在于限制转发服务的使用对象,而不是形成Open Relay.SASL之所以提供这种机制,主要是为了支持其他协议
阅读(2801) | 评论(0) | 转发(0) |
