<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Oh, nice! Although for some reason ./testssl.sh --mx <a href="http://torproject.org" rel="noreferrer" target="_blank">torproject.org</a> does<br>
not work for me, it says <a href="http://torproject.org" rel="noreferrer" target="_blank">torproject.org</a> has no mx records.<br></blockquote><div><br></div><div>Weird. I just ran it and put the output into a gist -- pretty[1], plain[2]. And the CheckTLS sender test[3], for good measure.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Yeah, our current approach is to get to many people as possible (that's<br>
why, for example, we don't do DKIM verification). </blockquote><div><br></div><div>We don't do DKIM/SPF verification either. I don't think the decision was with the rationale "to get to as many people as possible", though. More like, "kind of a hassle and doesn't gain us much". We limit the number of responses to a single address to 3 per day, so if an attacker is faking a From address there's only so much damage they can do... to a single target. I guess a bigger threat is an attacker causing us to spam all over the place, hurting our mail server's reputation. (Well. I guess now I have to reconsider checking DKIM/SPF.)</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Maybe we can share<br>
experiences about it. Do you have a list of those services?<br></blockquote><div><br></div><div>Not a comprehensive list, but here's a start...</div><div><br></div><div>Email services that play nice with strong TLS client/server reqs:</div><div><br></div><div>* Gmail</div><div>* Yahoo (but maybe not some of the regional ones? Like <a href="http://yahoo.de" target="_blank">yahoo.de</a>?)</div><div>* Hotmail/Outlook.com</div><div>* <a href="http://qq.com" target="_blank">qq.com</a> (Chinese email service)</div><div><br></div><div>Email services that do *not*:</div><div><br></div><div>* <a href="http://sina.cn" target="_blank">sina.cn</a>, <a href="http://sina.net" target="_blank">sina.net</a>, <a href="http://sina.com.cn" target="_blank">sina.com.cn</a>, <a href="http://sina.com" target="_blank">sina.com</a> (Chinese)</div><div>* <a href="http://163.com" target="_blank">163.com</a> (Chinese)</div><div>* <a href="http://tom.com" target="_blank">tom.com</a> (Chinese)</div><div>* <a href="http://126.com" target="_blank">126.com</a> (Chinese)</div><div><br></div><div>[1]: <a href="https://rawgit.com/adam-p/349d6753aa23fd359e67/raw/63c91716ffb3bc764b1b686b04fd239e1a69f11b/out.html" target="_blank">https://rawgit.com/adam-p/349d6753aa23fd359e67/raw/63c91716ffb3bc764b1b686b04fd239e1a69f11b/out.html</a></div><div>[2]: <a href="https://gist.githubusercontent.com/adam-p/349d6753aa23fd359e67/raw/cc95105ed0a647baf038ef30de0fe50b94589b44/out.txt" target="_blank">https://gist.githubusercontent.com/adam-p/349d6753aa23fd359e67/raw/cc95105ed0a647baf038ef30de0fe50b94589b44/out.txt</a></div><div>[3]: <a href="https://gist.githubusercontent.com/adam-p/349d6753aa23fd359e67/raw/f8ff6cbcd0f2b39f8b4960912161c6fb5b820f4e/checktls.com.txt" target="_blank">https://gist.githubusercontent.com/adam-p/349d6753aa23fd359e67/raw/f8ff6cbcd0f2b39f8b4960912161c6fb5b820f4e/checktls.com.txt</a></div></div>
</div></div>