Za pomocą certyfikatów TLS możesz szyfrować przychodzące i wychodzące e-maile użytkowników, aby zwiększyć bezpieczeństwo wymiany poczty.
Uzyskiwanie dostępu do certyfikatów TLS
Dostęp do certyfikatów TLS poczty wychodzącej i przychodzącej możesz uzyskać na 2 sposoby:
- Uruchom polecenie:
openssl s_client -starttls smtp -connect [nazwa_hosta]:25 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
- Użyj tego fragmentu kodu Pythona:
import smtplib
import ssl
connection = smtplib.SMTP()
connection.connect('[nazwa_hosta].')
connection.starttls()
print(ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True)))
Zmienną [nazwa_hosta] zastąp odpowiednią wartością:
- Przychodzący ruch SMTP –
aspmx.l.google.com
- Wychodzący ruch (przekaźnik SMTP) –
smtp-relay.gmail.com
- Wychodzący ruch (MSA) –
smtp.gmail.com
Wyszukiwanie innych metod dostępu do certyfikatów TLS
Aby poznać inne metody uzyskiwania dostępu do tych certyfikatów, wyszukaj wyodrębnianie certyfikatu z serwera TLS.
Ważne zagadnienia związane z certyfikatami TLS:
- Certyfikaty są podpisane przez urząd certyfikacji GlobalSign R2 (GS Root R2).
- Ustaw jako zaufane przynajmniej certyfikaty wymienione na stronie https://pki.goog/roots.pem.
- Certyfikaty są udostępniane między hostami.
- Każdy zestaw certyfikatów ma datę ważności. Nowe certyfikaty są oddawane przed tą datą, a podczas wdrażania nowych certyfikatów możesz łączyć się przy użyciu zarówno starych, jak i nowych.
-
Podczas komunikacji między klientami i serwerami Gmaila wiadomości są przesyłane przez HTTPS przy użyciu 128-bitowego szyfrowania TLS 1.2. Połączenie jest szyfrowane i uwierzytelniane przy użyciu AES_128_GCM. Mechanizmem wymiany kluczy jest ECDHE_RSA.
-
Komunikacja między Gmailem i zewnętrznymi serwerami oraz klientami jest obsługiwana przy użyciu SSL3 protokołu TLS 1.2. Klient wybiera mechanizmy szyfrowania, wymiany kluczy i długości ciągu bitów.
-
Obsługiwane ciągi bitów to 112/168 dla DES, 128 dla RC4 i 128 lub 256 dla AES.