Использование протокола TLS в работе Kaspersky Secure Mail Gateway

Kaspersky Secure Mail Gateway может обрабатывать сообщения электронной почты, которые передаются по шифрованному каналу в рамках сеанса с использованием протокола TLS.

Сеанс с использованием протокола TLS (далее также TLS-сеанс) – это последовательность следующих событий:

1. Сервер, с которого отправляются сообщения электронной почты (Клиент), устанавливает соединение с сервером, на который отправляются сообщения электронной почты (Сервер).
2. Серверы начинают взаимодействие по протоколу SMTP.
3. Клиент с помощью команды STARTTLS предлагает Серверу использовать TLS в рамках SMTP-взаимодействия.
4. Если Сервер может использовать TLS, он отвечает командой Ready to start TLS и отправляет Клиенту сертификат Сервера.
5. Клиент принимает сертификат и, если для него (Клиента) настроены необходимые параметры, проверяет подлинность сертификата Сервера.
6. Клиент и Сервер включают режим шифрования данных.
7. Серверы выполняют обмен данными.
8. Сеанс заканчивается.

Вы можете настроить режим TLS-безопасности для ситуаций, когда Kaspersky Secure Mail Gateway принимает сообщения от другого сервера (действует как Сервер) или пересылает сообщения на другой сервер (действует как Клиент).

Некоторые почтовые серверы используют для обмена сообщениями электронной почты в интернете незащищенные каналы. Настройка принудительного TLS-шифрования в приложении приведет к тому, что обмен сообщениями с этими серверами станет невозможен. Поэтому рекомендуется с осторожностью использовать следующие параметры TLS-безопасности:

• Параметры TLS для приема сообщений → Режим TLS-безопасности сервера = Требовать TLS-шифрование;
• Параметры TLS для отправки сообщений → Режим TLS-безопасности клиента = Требовать TLS-шифрование и не проверять сертификат или Требовать TLS-шифрование и проверять сертификат.

По умолчанию приложение проверяет возможность TLS-шифрования, но не прерывает соединение, если шифрование недоступно. Это позволяет обеспечить обмен данными со всеми серверами, но не гарантирует защиту каналов. Сообщения электронной почты, передаваемые по незашифрованным каналам, могут быть просмотрены, подделаны или изменены злоумышленниками.

Чтобы обеспечить подлинность и конфиденциальность передаваемых сообщений, рекомендуется настроить S/MIME в параметрах почтового клиента, используемого в организации.

Если же для безопасности передачи данных вы выбрали использование TLS-шифрования в параметрах приложения, то вам потребуется наличие сертификата безопасности (далее также "TLS-сертификат"). Вы можете использовать сертификат по умолчанию, автоматически созданный приложением, или добавить свой сертификат.

В этом разделе справки Настройка TLS-безопасности для приема и отправки сообщений Работа с TLS-сертификатами

В начало