Усиление защиты SMTP-соединения

Серверы и клиенты SMTP обмениваются данными через Интернет в открытом виде. Часто обмен данными происходит через один или несколько маршрутизаторов, которые не контролируются и не являются доверенными ни для одной из сторон. Такой недоверенный маршрутизатор может позволить третьей стороне просматривать или вносить изменения в соединение между сервером и клиентом.

Кроме того, часто требуется, чтобы два SMTP-агента могли проверить подлинность друг друга. Для этого на этапе установки SMTP-соединения происходит обмен сертификатами клиента и сервера в незашифрованном виде.

Если клиент не желает демонстрировать свой сертификат, он может предложить серверу использовать анонимные шифры. Как правило, параметры шифрования удаленной стороны невозможно контролировать, но нужно гарантировать доставку сообщения. В таких случаях применяются нестрогие параметры приема и отправки почты. В веб-интерфейсе KSMG параметры TLS -шифрования расположены в разделе Параметры → Встроенный MTA → TLS-шифрование.

При приеме сообщений от удаленных серверов уровень безопасности соединения задается значением выпадающего списка Режим TLS-безопасности сервера. По умолчанию используется значение Предлагать TLS-шифрование. В этом случае клиент предлагает серверу установить зашифрованное соединение командой STARTTLS. Если сервер не может установить зашифрованное соединение, то соединение происходит без использования TLS-шифрования. Более строгое значение параметра, например Требовать TLS-шифрование, на этом этапе приведет к разрыву соединения, сообщения электронной почты не будут доставлены.

При создании кластера приложение KSMG автоматически создает самоподписанный сертификат. Этот сертификат отображается в таблице TLS-сертификатов в разделе Параметры → Встроенный MTA → TLS-шифрование под именем Default Cert и имеет длину ключа RSA 4096 бит с подписью SHA-256. Если вы используете нестрогие параметры, этого сертификата достаточно для TLS-шифрования соединения.

При отправке сообщений на удаленные серверы уровень безопасности соединения задается значением выпадающего списка Режим TLS-безопасности клиента. По умолчанию установлено значение Проверять возможность TLS-шифрования, при котором KSMG предлагает удаленному серверу установить соединение с TLS-шифрованием, а в случае отказа – передает сообщение в незашифрованном виде. Более строгие значения параметра, например Требовать TLS-шифрование и не проверять сертификат, потребуют от удаленного сервера поддержки TLS-шифрования независимо от результатов проверки подлинности TLS-сертификата. Если будет выбрано значение Требовать TLS-шифрование и проверять сертификат, сервер должен дополнительно предоставить подходящий TLS-сертификат. Несоответствие параметров удаленного сервера установленным значениям приведет к разрыву соединения, почтовые сообщения не будут доставлены.

В KSMG вы можете настроить отправку сообщений с использованием TLS-шифрования для каждого домена из списка. Настройка отправки сообщений для конкретного домена выполняется в разделе Параметры → Встроенный MTA → Домены.

Вы можете использовать приведенные ниже параметры для повышения защиты SMTP-соединения в условиях обмена сообщениями между доверенными агентами: например, в рамках одной компании, когда для TLS-шифрования агентов применены одинаковые строгие параметры, выпущены и загружены сертификаты, заверенные удостоверяющими центрами, и исключено получение почты из неизвестных источников. Для настройки параметров следует перейти в раздел Параметры → Встроенный MTA → TLS-шифрование и установить следующие значения:

Применение строгих параметров TLS-шифрования увеличит нагрузку на вычислительные ресурсы сервера и уменьшит пропускную способность шлюза.

В начало