0

我正在使用 Suricata 规则开发 AWS 网络防火墙,以通过 FQDN 将特定源 IP 地址过滤到不同的目的地,主要用于 HTTP 和 HTTPS。

正如我所见,HTTPS 使用 TLS SNI 进行过滤,是否也可以通过 TLS 应用于 SMTP?

严格规则顺序的示例规则:

pass tls 172.31.10.11/32 any -> $EXTERNAL_NET 587 (tls.sni; dotprefix; content:".us-west-2.amazonaws.com"; nocase; endswith; msg:"matching TLS allowlisted FQDNs - .us-west-2.amazonaws.com"; flow:to_server, established; sid:107; rev:1;)
pass tcp 172.31.10.11/32 any <> $EXTERNAL_NET 587 (sid:501; rev:1;)

但是,如果我不包括最后一条规则,它就无法通过 587 端口上的任何流量。

TLS 控制是否能够应用于 SMTP,类似于仅允许 FQDN 到特定目标的 HTTPS?

感谢您的帮助。

4

1 回答 1

1

SMTP 通常不需要 SNI。服务器通常不会期望它,因为通常在特定 IP 地址上只有一个具有单个主机名的服务器,即使该服务器负责多个邮件域。因此客户端可能会也可能不会添加 SNI,而服务器通常会忽略这一点。

自 2019 年以来,有一些服务器在一段时间内支持 SNI,例如 Postfix。但许多服务器和客户端不支持,因此不能依赖它。

于 2021-10-17T17:12:19.880 回答