Я пишу код Linux, который требует отправки писем. Мой вопрос:
когда я использую STARTTLS (starttls включен в msmtprc), безопасно ли использовать обычную аутентификацию (auth plain)? Является ли связь
а) зашифрованы перед отправкой пароля? или же
б) пароль отправлен, а затем установлено шифрование?
Я предполагаю, что первое решение (а), но я хочу быть уверенным, что через сеть не передаются простые пароли.
Также (это побочная проблема) Я предполагаю, что даже при включенном STARTTLS это обычно не обязательно, и я слышал, что человек из среднего атакующего может «понизить» соединение, чтобы отключить использование TLS. Это правда? Вопрос здесь заключается в следующем: нужно ли проводить дополнительное тестирование, чтобы убедиться, что с SMTP-сервером может быть установлено только зашифрованное соединение?
вот мой msmtprc:
account default
host my-smtp-server.pl
tls on
tls_certcheck off
tls_starttls on
port 587
auth on
from my-email@mydomain.pl
auth plain
user username
password p@$$w0rd