met het aantal acroniemen rond e-mail encryptie, is het niet moeilijk om te verdwalen. Er wordt nauwelijks e-mail verzonden zonder SSL of TLS. STARTTLS wordt vaak geassocieerd met hen en STLS verschijnt zo nu en dan. Hoe zit het met ECC en RSA? We laten ze voor de volgende keer. Doe dit keer mee als we de rol van SSL/TLS en STARTTLS in e-mail encryptie bespreken.
SSL en TLS – waar gaat het allemaal om?
zoals u kunt lezen in ons artikel over SMTP-beveiliging, is dit protocol niet standaard beveiligd., Als zodanig, het is vrij eenvoudig voor de internet schurken om e-mails te onderscheppen en gebruik te maken van vertrouwelijke informatie. Gelukkig, er zijn encryptie methoden op zijn plaats die hun leven een beetje moeilijker te maken.
SSL (Secure Socket Layer) en zijn opvolger TLS (Transport Layer Security) zijn twee cryptografische protocollen die worden gebruikt bij e-mailtransmissie. Beide vertrouwen op een set van private en publieke sleutels om berichten om te zetten in nutteloze tekenreeksen. Als, op enig moment, een dergelijke e-mail wordt onderschept, zal het niet van enig nut zijn voor degene die uw veiligheid gecompromitteerd.,
SSL werd oorspronkelijk ontwikkeld door Netscape in 1995 en werd snel geïmplementeerd in de populaire e-mailclients op dat moment (inclusief hun eigen client). Vier jaar later werd een nieuwe standaard – TLS – geïntroduceerd, die een betrouwbaarder beveiligingsprofiel biedt.
SSL is sindsdien verouderd, maar het wordt nog steeds veel gebruikt samen met zijn jongere broer of zus. In feite worden beide namen door elkaar gebruikt en kunt u vaak een verwijzing naar SSL vinden wanneer er naar TLS wordt verwezen. De term “SSL/TLS” wordt ook vaak gebruikt.
Wat is de rol van STARTTLS?,
STARTTLS is geen protocol, maar een e-mailprotocol Commando. Het wordt gebruikt om een e-mailserver te vertellen dat een e-mailclient (zoals Gmail, Outlook, enz.) wil een bestaande onveilige verbinding upgraden naar een beveiligde verbinding, met behulp van SSL of TLS.
merk op dat de naam ‘STARTTLS’ niet aangeeft dat alleen een TLS-verbinding tot stand kan worden gebracht. SSL kan ook gebruikt worden met dit commando.
STARTTLS, behalve SMTP, wordt ook gebruikt met IMAP-protocol, traditioneel gebruikt voor het ophalen van e-mails van een e-mailserver. POP3, een ander protocol voor het ontvangen van e-mails, gebruikt een soortgelijk commando genaamd STLS.,
Hoe werken TLS / SSL en STARTTLS?
om de rol van encryptie in e-mail transmissies te begrijpen, moeten we kort uitleggen waar de ‘handshake’ over gaat. Net zoals mensen in veel culturen elkaar de hand schudden bij het begin van een gesprek, volgen e-mailclients en servers ook een soortgelijk ritueel.
wanneer een e-mail wordt verzonden, neemt een client contact op met een server om de betrouwbaarheid ervan te controleren. Het deelt welke SSL / TLS-versies het is compatibel met en ook de encryptie methode die men kan verwachten van het., De server reageert met zijn digitale certificaat om zijn identiteit te bevestigen. Wanneer het uitcheckt, de twee zijden genereren en uitwisselen van een unieke sleutel die nu zal worden gebruikt om berichten te decoderen.
om een ‘handshake’ te laten plaatsvinden, moet eerst een verbinding tot stand worden gebracht tussen een client en een server. Standaard is een SMTP-verbinding niet beveiligd en als zodanig kwetsbaar voor aanvallen. Daarom zullen beide partijen proberen een veilige verbinding tot stand te brengen., Er zijn twee benaderingen:
- met opportunistische SSL/TLS (ook wel expliciet SSL/TLS genoemd) zal een client een STARTTLS commando uitvoeren om een verbinding te upgraden naar een versleutelde verbinding. Als een server compatibel is en er geen fouten optreden, wordt de beveiligde TLS-of SSL-verbinding tot stand gebracht. Als er iets faalt in het proces, zal een platte tekst transmissie tot stand worden gebracht.
- met geforceerde SSL/TLS (ook bekend als impliciete SSL / TLS) zal een client proberen een beveiligde verbinding tot stand te brengen zonder een server naar de compatibiliteit te vragen. Als het lukt, zal er een beveiligde verbinding worden opgezet en zal er een handshake volgen., Als een server niet compatibel is of een verbinding wordt verbroken, wordt een transmissie afgebroken.
beide worden tegenwoordig algemeen gebruikt en gebruiken speciale poorten voor deze transmissies.
welke poorten worden gebruikt voor impliciete en expliciete SSL / TLS?
gedurende vele jaren werd poort 25 standaard gebruikt voor zowel het verzenden van e-mails naar MTA ’s (e-mailservers) als het doorgeven ervan tussen MTA’ s. Na verloop van tijd, dit leidde tot een enorme hoeveelheid spam wordt verzonden via deze poort (en het is nog steeds).
nieuwe poorten zijn sindsdien aangekondigd en 25 was voornamelijk beperkt tot SMTP Relay doeleinden., Poort 587 naar voren gekomen als de meest populaire optie voor SMTP indiening.
hoewel voor deze poort geen STARTTLS nodig is, doen de platforms die het gebruiken dit meestal wel. Op de top van dat, ze vereisen ook een gebruikersnaam en wachtwoord voor authenticatie, waardoor het nog moeilijker om spoof de echte accounts. Als u een expliciete SSL/TLS wilt gebruiken, moet poort 587 uw keuze zijn. Als alternatief wordt port 2525 ook vaak gebruikt.
gedurende een korte periode was poort 465 de aanbevolen poort voor het indienen van e-mail., Deze beslissing werd snel ingetrokken, ten gunste van poort 587, maar veel clients en servers hadden het al geïmplementeerd. Als zodanig is het een algemeen alternatief geworden voor 587 voor degenen die bereid zijn om impliciete SSL/TLS te gebruiken (een versleutelde verbinding forceren in plaats van te proberen deze te upgraden met STARTTLS).
tegenwoordig zijn er veel e-mailclients, Gmail en Yahoo! gebruik zowel poort 465 (voor impliciete SSL/TLS) als 587 (voor expliciete SSL/TLS), terwijl anderen zichzelf beperken tot 587.
dingen zijn ingesteld om te veranderen, echter, als verdere pogingen worden gedaan om het gebruik van TLS af te dwingen in zowel clients als servers., In 2018 heeft de Internet Engineering Task Force (IETF) aanbevolen om impliciete TLS via poort 465 te gebruiken. De tijd zal leren of STARTTLS op een dag overbodig zal worden of dat beide benaderingen hand in hand zullen worden gebruikt voor de komende jaren.
Lees meer over SMTP-poorten in ons andere artikel.
IMAP en POP (voornamelijk POP3) gebruiken ook verschillende poorten voor impliciete en expliciete SSL/TLS. IMAP haalt e-mails op via poort 143 wanneer STARTTLS op zijn plaats is en via poort 993 bij gebruik van impliciete SSL / TLS. POP gebruikt respectievelijk poorten 110 en 995.,
SSL/TLS versiegeschiedenis
zoals we al eerder zeiden, is SSL al een paar jaar verouderd en wordt TLS beschouwd als de meest betrouwbare ontwikkeling in e-mailversleuteling. Ondanks dat, sommige platforms nog steeds gebruik maken van SSL, ondanks de kwetsbaarheden.
zoals u nu zou moeten weten, worden SSL en TLS door elkaar gebruikt. Als zodanig, het is niet ongewoon om een client of een server die de nieuwste SSL-encryptie aan de gebruikers te zien. Maar je hoeft niet te wanhopen. Het zijn waarschijnlijk TLS die hun transmissies aansturen. Snel onderzoek kan geen kwaad.,
Here’s a summary of all the SSL/TLS versions published to date:
Protocol | Year published | Current status |
SSL 1.0 | Never published | Never published |
SSL 2.0 | 1995 | Deprecated since 2011 |
SSL 3.0 | 1996 | Deprecated since 2015 |
TLS 1.0 | 1999 | To be deprecated in 2020 |
TLS 1.,1 | 2006 | afgeschaft in 2020 |
TLS 1.2 | 2008 | Actief ondersteund |
TLS 1.3 | 2018 | Actief ondersteund |
SSL-1.0 nooit gepubliceerd als ernstige beveiligingslekken werden ontdekt voordat het werd zelfs aangekondigd. Hierdoor was SSL 2.0 het eerste protocol dat op grote schaal beschikbaar was.
met de release van TLS 1.3 in 2018 worden de eerste twee versies van TLS verouderd., Als je op het punt staat een provider te kiezen en verschillende aanbiedingen vergelijkt, zorg er dan voor dat die van jou draait op TLS 1.2 of nieuwer.
Wrapping up
Houd er rekening mee dat, zelfs met oude technologie als SMTP, dingen vrij snel kunnen veranderen. Een nieuwe versie van TLS of zelfs een compleet ander protocol kan worden geïntroduceerd. Sommige havens zouden overbodig kunnen worden, terwijl andere tot roem zullen stijgen. Wanneer dat gebeurt, zullen we er zeker van zijn om het artikel bij te werken, maar probeer altijd op zoek te zijn naar het laatste nieuws en trends in de industrie.,
Volg onze blog en je leert veel over e-mail verzenden, protocollen en benaderingen. Ook, probeer Mailtrap gratis en nooit spam uw klanten per ongeluk weer. Hou je goed!
Als u dit artikel leuk vond, deel en verspreid het woord. We zullen het echt waarderen.
Geef een reactie