Zvýšení zabezpečení připojení SMTP
23. května 2024
ID 272882
Servery a klienti SMTP komunikují přes internet ve formě prostého textu. Komunikace často probíhá prostřednictvím jednoho nebo více směrovačů, které nejsou ani kontrolovány, ani považovány za důvěryhodné žádnou komunikující stranou. Takový nedůvěryhodný směrovač může umožnit třetí straně odposlouchávat připojení mezi serverem a klientem nebo je upravovat.
Kromě toho se dva agenti SMTP často potřebují navzájem ověřit. Za tímto účelem si klient a server při navazování SMTP připojení vymění certifikát v nezašifrované podobě.
Pokud klient nechce zobrazovat svůj certifikát, může vyzvat server, aby použil anonymní šifry. Obecně platí, že nastavení šifrování vzdálené strany nelze kontrolovat, musí však být zaručeno doručení zpráv. V takových případech se použije uvolněné nastavení pro odesílání a přijímání e-mailů. Ve webovém rozhraní KSMG se nastavení šifrování TLS nachází v části Nastavení →Integrovaný agent MTA →Šifrování TLS.
Při příjmu zpráv ze vzdálených serverů je úroveň zabezpečení připojení určena výběrem v rozevíracím seznamu Úroveň zabezpečení serveru TLS. Výchozí nastavení je Pokusit se o šifrování TLS. V takovém případě klient vyzve server, aby navázal šifrované připojení příkazem STARTTLS. Pokud server nemůže navázat šifrované připojení, je připojení navázáno bez šifrování TLS. Například přísnější nastavení Vyžadovat šifrování TLS v této fázi připojení ukončí a e-mailové zprávy nejsou doručovány.
Při vytváření clusteru aplikace KSMG automaticky vytvoří certifikát podepsaný svým držitelem. Tento certifikát se zobrazuje v tabulce certifikátů TLS v části Nastavení →Integrovaný agent MTA →Šifrování TLS s názvem Výchozí certifikát; certifikát má klíč RSA o délce 4096 bitů s podpisem SHA-256. Pokud používáte uvolněné nastavení, tento certifikát je dostatečný pro šifrování připojení TLS.
Při odesílání zpráv na vzdálené servery je úroveň zabezpečení připojení určena výběrem v rozevíracím seznamu Úroveň zabezpečení klienta TLS. Výchozí nastavení je Pokusit se o šifrování TLS, což znamená, že KSMG vyzve vzdálený server, aby navázal připojení pomocí šifrování TLS, a v případě odmítnutí odešle zprávu v nezašifrované podobě. Například přísnější nastavení Vyžadovat šifrování TLS a neověřovat certifikát vyžaduje, aby vzdálený server podporoval šifrování TLS bez ohledu na výsledky ověření certifikátu TLS. Pokud je vybrána možnost Vyžadovat šifrování TLS a ověřovat certifikát, musí server dodatečně předložit odpovídající certifikát TLS. Neshoda nastavení vzdáleného serveru s nakonfigurovanými hodnotami má za následek ukončení připojení a e-mailové zprávy nebudou doručovány.
V KSMG můžete pro každou doménu v seznamu nakonfigurovat odesílání zpráv pomocí šifrování TLS. Odesílání zpráv pro jednotlivou doménu můžete nakonfigurovat v části Nastavení →Integrovaný agent MTA →Domény.
Při výměně zpráv mezi důvěryhodnými agenty můžete použít následující nastavení, která zvyšují zabezpečení připojení SMTP, například v rámci stejné společnosti, se stejně přísným nastavením jako to, které se používá pro šifrování TLS agentů, s vydanými a nahranými certifikáty certifikovanými certifikačními autoritami a s poštou od neznámých zdrojů, která nebyla nikdy přijata. Chcete-li upravit nastavení, přejděte do části Nastavení →Integrovaný agent MTA →Šifrování TLS a nastavte následující hodnoty:
- Úroveň zabezpečení serveru TLS – Vyžadovat šifrování TLS.
- Úroveň zabezpečení klienta TLS – Vyžadovat šifrování TLS a neověřovat certifikát nebo Vyžadovat šifrování TLS a ověřovat certifikát.
Použití přísného nastavení šifrování TLS zvyšuje zátěž výpočetních prostředků serveru a omezuje propustnost brány.