增強 SMTP 連線的安全性

SMTP 伺服器和用戶端透過網際網路以純文字方式進行通訊。通訊通常透過一個或多個路由器進行，這些路由器不受通訊雙方控制也不被信任。這種不受信任的路由器可能會允許第三方竊聽伺服器和用戶端之間的連線或修改它。

此外，兩個 SMTP 代理通常需要相互驗證。為此，用戶端和伺服器在建立 SMTP 連線時以未加密的形式交換憑證。

如果用戶端不想顯示其憑證，它可以提示伺服器使用匿名密碼。一般來說，無法控制遠端方的加密設定，但必須保證訊息傳遞。在這種情況下，將套用傳送和接收電子郵件的寬鬆設定。在 KSMG Web 介面中，“TLS 加密設定”位於“設定” → “內建 MTA” → “TLS 加密”部分。

當從遠端伺服器接收訊息時，連線安全性等級由“伺服器 TLS 安全層級”下拉清單中的選擇決定。預設設定為“嘗試 TLS 加密”。在這種情況下，用戶端會提示伺服器使用 STARTTLS 指令建立加密連線。如果伺服器無法建立加密連線，則在不進行 TLS 加密的情況下建立連線。更嚴格的設定，例如“要求 TLS 加密”，在此階段終止連線，並且電子郵件不會被送達。

建立叢集時，KSMG 應用程式會自動建立自簽章憑證。此憑證顯示在“TLS 憑證表”中，在“設定” → “內建 MTA” → “TLS 加密”的具有“預設憑證”名稱的部分；該憑證具有 4096 位元的RSA 金鑰長度和 SHA-256 簽章。如果您使用寬鬆設定，此憑證足以用於連線的 TLS 加密。

向遠端伺服器傳送訊息時，連線安全性等級由“用戶端 TLS 安全層級”下拉清單中的選擇決定。預設設定是“嘗試 TLS 加密”，這意味著 KSMG 提示遠端伺服器建立使用 TLS 加密的連線，如果拒絕，則以未加密的形式傳送訊息。更嚴格的設定，例如“要求 TLS 加密但不驗證憑證”，要求遠端伺服器支援 TLS 加密，無論 TLS 憑證驗證的結果如何。如果選擇了 “要求 TLS 加密並驗證憑證”，伺服器必須另外產生相符的 TLS 憑證。遠端伺服器設定與配置的值不符會導致連線終止，電子郵件不會被傳遞。

在 KSMG 中，您可以為清單中的每個網域配置使用 TLS 加密的郵件傳送。您可以在“設定” → “內建 MTA” → “網域”部分為單一網域配置郵件傳送。

在受信任的代理之間交換郵件時，您可以使用以下設定來增強 SMTP 連線的安全性，例如，在同一公司內部，對於代理的 TLS 加密設定套用同樣嚴格的設定，使用憑證認證機構頒發和上傳的認證憑證，從不接受來自未知來源的郵件。若要編輯設定，請前往“設定” → “內建 MTA” → “TLS 加密”部分並設定以下值：

• 伺服器 TLS 安全層級 – 要求 TLS 加密。
• 用戶端 TLS 安全層級 – 要求 TLS 加密但不驗證憑證 或 要求 TLS 加密並驗證憑證。

應用嚴格的 TLS 加密設定會增加伺服器運算資源的負載並限制閘道的吞吐量。