在 ASP.NET 应用程序中存储 SMTP 凭据的最佳实践是什么？

Question

我过去创建了几个发送电子邮件的 ASP.NET 应用程序，但我一直不确定在哪里存储 SMTP 凭据。我通常只是创建一个单独的 XML 文件来存储这些信息，但我不确定这是否是最好的方法。

为 ASP.NET 应用程序存储 SMTP 凭据时的最佳实践是什么？

SMTP 凭据是否应该存储在 web.config 中？

Answer 1

您应该问自己：您将连接字符串存储在哪里？

如果 web.config 对于您的数据库凭据来说足够安全，我不认为 SMTP 的凭据应该有所不同。

所以我的选择是 - 无论您在何处存储连接字符串。

Answer 2

我说的是显而易见的事情吗？

<configuration>
    <system.net>
        <mailSettings>
            <smtp>
            </smtp>
        </mailSettings>
    </system.net>
<configuration>

Answer 3

主观标签？

如果我有我的鼓手，我会存储在 web.config 中。我曾经去过将它们存储在数据库中的地方，只要需要发送电子邮件就可以调用数据库来获取这些凭据（恶心）。

Answer 4

我建议将 SMTP 服务器设置为仅 NTLM 身份验证，并以服务器的授权用户身份运行 Web 应用程序。除 SMTP 服务器的 IP 之外，不会存储任何凭据。

显然，如果您使用的是 Gmail，则这不是一个选项，在这种情况下，请将其存储在您自己的单独部分中，并使用加密的用户名和密码。然而，您可能会争辩说，如果他们有权访问您的网络配置，他们很可能有权访问您的源文件或可反编译的二进制文件。