ruby-on-rails - 在与 Gmail 通信时，ActionMailer 的 "enable_starttls_auto"设置是否保护我的电子邮件凭据？

Question

我对使用 Rails 的 ActionMailer 通过 gmail 帐户向用户发送电子邮件很感兴趣。有许多教程建议使用以下设置，它可以完成基本工作:

config.action_mailer.delivery_method = :smtp
config.action_mailer.smtp_settings = {
  :address              => "smtp.gmail.com",
  :port                 => 587,
  :user_name            => "my-gmail-address@gmail.com",
  :password             => "my-gmail-password",
  :authentication       => "plain",
  :enable_starttls_auto => true
}

然而，我担心的是安全问题。 Gmail 要求我降级 gmail 帐户的安全设置才能使此方法起作用，另外，presumably , ActionMailer 仅使用易于解码的 BASE64 编码将我的电子邮件凭据发送到 Gmail。

也就是说，ActionMailer 的“enable_starttls_auto”设置让我看到了一些希望，即 ActionMailer 和 Gmail 将在交换电子邮件凭证之前执行安全握手，并为凭证传递建立安全通道。是这种情况吗？我可以高枕无忧，还是要真正建立安全连接，我需要通过某种 OAuth 2 API 连接与 gmail 通信吗？

Answer 1

将“enable_starttls_auto”设置为 true 将检查服务器是否支持 starttls 并如果支持则使用它。但是，在任意 smtp 服务器的情况下，无法保证安全传输:如果服务器不支持 starttls，您的凭据将以明文形式发送。

您是否信任 GMail 始终启用 starttls 是您的选择。

如果你想确定，你可以使用 ssl: true 和 port: 465，如果我没记错的话，GMail 服务器也应该支持它。