Konfigurace TLS pro KSMG
23. května 2024
ID 95396
Aplikace KSMG může zpracovat e-mailové zprávy odesílané přes šifrované datové propojení v rámci relace protokolu TLS.
Relace TLS je sekvence následujících událostí:
- Server, z něhož se odesílají e-mailové zprávy (klient) navazuje připojení k serveru, na který se odesílají e-mailové zprávy (server).
- Servery zahajují interakci prostřednictvím protokolu SMTP.
- Klient příkazem
STARTTLS
nabízí serveru používání TLS během interakce SMTP. - Pokud server může používat TLS, odpoví příkazem
Ready to start TLS
(Připraven spustit TLS) a odešle certifikát serveru klientovi. - Klient obdrží certifikát, a pokud je klient nakonfigurován správně, ověří pravost certifikátu serveru.
- Klient a server povolí režim šifrování dat.
- Servery si vymění data.
- Relace skončí.
Můžete nakonfigurovat režim zabezpečení TKS pro situace, kdy KSMG přijímá zprávy z jiného serveru (KSMG vystupuje jako server) nebo odesílá zprávy na jiný server (KSMG vystupuje jako klient).
Některé poštovní servery používají pro výměnu e-mailových zpráv na internetu nešifrované kanály. Konfigurace povinného šifrování TLS v aplikaci znemožní výměnu zpráv s těmito servery. Z tohoto důvodu doporučujeme používat následující nastavení zabezpečení TLS s opatrností:
- Nastavení TLS pro přijímání zprávy → Úroveň zabezpečení serveru TLS = Vyžadovat šifrování TLS
- Nastavení TLS pro odesílání zpráv → Úroveň zabezpečení klienta TLS = Vyžadovat šifrování TLS a neověřovat certifikát nebo Vyžadovat šifrování TLS a ověřovat certifikát
Ve výchozím nastavení aplikace kontroluje schopnost šifrování TLS, ale neukončí připojení, pokud šifrování není k dispozici. Díky tomu budete mít zajištěnu výměnu dat se všemi servery, ale nebudete mít zaručeno zabezpečení komunikačních kanálů. E-mailové zprávy přenášené přes nešifrované kanály mohou být zachyceny, zfalšovány nebo upraveny hackery.
Pro zajištění pravosti a důvěrnosti přenášených zpráv doporučujeme v nastavení poštovního klienta používaného vaší organizací nakonfigurovat S/MIME.
Pokud v nastavení aplikace vyberete, že se má používat šifrování TLS, a zajistíte tak zabezpečené přenosy dat, budete potřebovat certifikát zabezpečení (dále také označovaný jako „certifikát TLS“). Můžete používat výchozí certifikát automaticky vytvářený aplikací nebo přidat vlastní certifikát.