z liczbą akronimów otaczających szyfrowanie poczty e-mail, nie jest trudno się zgubić . Prawie żadna wiadomość e-mail nie jest wysyłana bez protokołu SSL lub TLS. STARTTLS jest często z nimi kojarzony i STLS pojawia się co jakiś czas. A co z ECC i RSA? Zostawimy je na następny raz. Dołącz do nas tym razem, gdy omawiamy rolę SSL / TLS i STARTTLS w szyfrowaniu poczty e-mail.
SSL i TLS – o co w tym wszystkim chodzi?
jak można przeczytać w naszym artykule na temat bezpieczeństwa SMTP, protokół ten nie jest domyślnie zabezpieczony., Jako takie, to jest dość łatwe dla złoczyńców internetowych do przechwytywania wiadomości e-mail i korzystać z poufnych informacji. Na szczęście istnieją metody szyfrowania, które utrudniają im życie.
SSL (Secure Socket Layer) i jego następca TLS (Transport Layer Security) to dwa protokoły kryptograficzne używane w transmisji poczty elektronicznej. Oba polegają na zestawie kluczy prywatnych i publicznych, aby zamienić wiadomości w bezużyteczne ciągi znaków. Jeśli na jakimkolwiek etapie taki e-mail zostanie przechwycony, nie będzie on użyteczny dla osoby, która naruszyła Twoje bezpieczeństwo.,
SSL został pierwotnie opracowany przez Netscape w 1995 roku i został szybko zaimplementowany w popularnych klientach poczty elektronicznej(w tym własnym kliencie). Cztery lata później wprowadzono nowy standard-TLS-oferujący bardziej niezawodny profil bezpieczeństwa.
SSL jest od tego czasu przestarzały, ale nadal jest szeroko stosowany wraz z młodszym rodzeństwem. W rzeczywistości obie nazwy są używane zamiennie i często można znaleźć odniesienie do SSL, gdy mowa o TLS. Termin „SSL/TLS” jest również powszechnie używany.
jaka jest rola STARTTLS?,
STARTTLS nie jest protokołem, lecz poleceniem protokołu e-mail. Służy do informowania serwera poczty e-mail o kliencie poczty e-mail (takim jak Gmail, Outlook itp.) chce uaktualnić istniejące niebezpieczne połączenie do bezpiecznego, przy użyciu SSL lub TLS.
zauważ, że nazwa „STARTTLS” nie oznacza, że można nawiązać tylko połączenie TLS. SSL może być również używany z tym poleceniem.
STARTTLS, z wyjątkiem SMTP, jest również używany z protokołem IMAP, tradycyjnie używanym do pobierania wiadomości e-mail z serwera pocztowego. POP3, inny protokół do odbierania wiadomości e-mail, używa podobnego polecenia o nazwie STLS.,
jak działają TLS/SSL i STARTTLS?
aby zrozumieć rolę szyfrowania w transmisjach e-mail, musimy krótko wyjaśnić, o co chodzi w „uścisku dłoni”. W ten sam sposób, w jaki ludzie w wielu kulturach mają tendencję do uściskania sobie rąk na początku rozmowy, Klienci poczty e-mail i serwery również stosują podobny rytuał.
Po wysłaniu wiadomości e-mail Klient dociera do serwera, aby zweryfikować jego niezawodność. Dzieli się, z którymi wersjami SSL/TLS jest kompatybilny, a także metodą szyfrowania, której można się po nim spodziewać., Serwer odpowiada swoim cyfrowym certyfikatem, aby potwierdzić swoją tożsamość. Kiedy się sprawdzi, obie strony generują i wymieniają unikalny klucz, który będzie teraz używany do odszyfrowywania wiadomości.
aby doszło do „uścisku dłoni”, należy najpierw nawiązać połączenie między Klientem a serwerem. Domyślnie połączenie SMTP nie jest zabezpieczone i jako takie podatne na ataki. Dlatego obie strony będą starały się nawiązać bezpieczne połączenie., Istnieją dwa podejścia:
- z oportunistycznym SSL/TLS (Aka jawnym SSL / TLS), klient uruchomi polecenie STARTTLS, aby uaktualnić połączenie do szyfrowanego. Jeśli serwer jest zgodny i nie wystąpią żadne błędy, zostanie ustanowione bezpieczne połączenie TLS lub SSL. Jeśli coś zawiedzie w tym procesie, zostanie nawiązana transmisja w postaci zwykłego tekstu.
- z wymuszonym SSL/TLS (Aka Implicit SSL / TLS), klient spróbuje ustanowić bezpieczne połączenie bez pytania serwera o jego kompatybilność. Jeśli się powiedzie, zostanie skonfigurowane bezpieczne połączenie i nastąpi uścisk dłoni., Jeśli serwer nie jest kompatybilny lub przerwa w połączeniu, transmisja zostanie przerwana.
oba są obecnie powszechnie używane i używają dedykowanych portów dla tych transmisji.
które porty są używane do niejawnego i jawnego SSL/TLS?
przez wiele lat port 25 był domyślnie używany zarówno do przesyłania wiadomości e-mail do MTA (serwerów pocztowych), jak i przekazywania ich między MTA. Z biegiem czasu doprowadziło to do ogromnej ilości spamu wysyłanego przez ten port (i nadal jest).
nowe porty zostały ogłoszone od tego czasu, a 25 zostało ograniczone głównie do celów przekaźnikowych SMTP., Port 587 stał się najpopularniejszą opcją przesyłania SMTP.
chociaż ten port nie wymaga użycia STARTTLS, to platformy z niego korzystające przeważnie to robią. Ponadto wymagają one również nazwy użytkownika i hasła do uwierzytelniania, co jeszcze trudniej jest sfałszować prawdziwe konta. Jeśli chcesz użyć jawnego SSL/TLS, port 587 powinien być twoim wyborem. Alternatywnie, port 2525 jest również powszechnie używany.
przez krótki okres czasu port 465 był zalecanym portem do wysyłania wiadomości e-mail., Decyzja ta została szybko odwołana, na rzecz portu 587, ale wielu klientów i serwerów już ją wdrożyło. W związku z tym stał się powszechną alternatywą dla 587 dla osób chętnych do korzystania z niejawnego SSL / TLS (wymuszanie szyfrowanego połączenia zamiast próby uaktualnienia go za pomocą STARTTLS).
w dzisiejszych czasach wielu klientów poczty elektronicznej, Gmail i Yahoo! w zestawie, używaj zarówno portu 465 (dla niejawnego SSL/TLS), jak i 587 (dla jawnego SSL/TLS), podczas gdy inne ograniczają się tylko do 587.
sytuacja ma się jednak zmienić, ponieważ podejmowane są dalsze próby wymuszenia korzystania z TLS zarówno na klientach, jak i serwerach., W 2018 roku Internet Engineering Task Force (IETF) zalecił używanie domyślnego TLS przez port 465. Czas pokaże, czy STARTTLS pewnego dnia staną się zbędne, czy też oba podejścia będą używane ramię w ramię przez wiele lat.
Przeczytaj więcej o portach SMTP w naszym innym artykule.
IMAP i POP (głównie POP3) również używają różnych portów dla niejawnego i jawnego SSL / TLS. IMAP pobiera wiadomości e-mail przez port 143, gdy STARTTLS jest na miejscu, oraz przez port 993, gdy używa ukrytego SSL / TLS. POP używa portów odpowiednio 110 i 995.,
Historia wersji SSL/TLS
jak już wspomnieliśmy, SSL jest przestarzałe już od kilku lat, a TLS jest uważany za najbardziej niezawodny rozwój szyfrowania poczty e-mail. Mimo to niektóre platformy nadal używają protokołu SSL, pomimo jego luk w zabezpieczeniach.
jak już powinieneś wiedzieć, SSL i TLS są używane zamiennie. W związku z tym często zdarza się, że klient lub serwer oferuje użytkownikom najnowsze szyfrowanie SSL. Ale nie ma powodu do rozpaczy. To pewnie TLS zasila ich transmisje. Szybkie badania nie zaszkodzą.,
Here’s a summary of all the SSL/TLS versions published to date:
Protocol | Year published | Current status |
SSL 1.0 | Never published | Never published |
SSL 2.0 | 1995 | Deprecated since 2011 |
SSL 3.0 | 1996 | Deprecated since 2015 |
TLS 1.0 | 1999 | To be deprecated in 2020 |
TLS 1.,1 | 2006 | być wycofane w 2020 |
TLS 1.2 | 2008 | aktywnie wspierane |
TLS 1.3 | 2018 | aktywnie wspierane |
SSL 1.0 nigdy nie został opublikowany, ponieważ poważne wady bezpieczeństwa zostały odkryte, zanim został nawet ogłoszony. W rezultacie SSL 2.0 był pierwszym powszechnie dostępnym protokołem.
wraz z wydaniem TLS 1.3 w 2018 r.pierwsze dwie wersje TLS mają być przestarzałe., Jeśli wybierasz dostawcę i porównujesz różne oferty, upewnij się, że Twoja działa na TLS 1.2 lub nowszym.
należy pamiętać, że nawet przy starożytnej technologii jako SMTP, rzeczy mogą się dość szybko zmienić. Może zostać wprowadzona nowa wersja TLS lub nawet zupełnie inny protokół. Niektóre porty mogą stać się zbędne, podczas gdy inne staną się sławne. Kiedy tak się stanie, z pewnością zaktualizujemy artykuł, ale staraj się zawsze być na bieżąco z najnowszymi wiadomościami i trendami w branży.,
śledź nasz blog, a dowiesz się wiele o wysyłaniu e-maili, protokołach i podejściach. Wypróbuj również Mailtrap za darmo i nigdy więcej nie spamuj klientów przypadkowo. Trzymaj się!
Jeśli podobał Ci się ten artykuł, podziel się nim i rozpowszechnij. Będziemy wdzięczni.
Dodaj komentarz