אתם יכולים להשתמש באישור Transport Layer Security (TLS) כדי להצפין את האימייל של המשתמשים שלכם לצורך מסירה מאובטחת של אימיילים נכנסים ויוצאים.
איך ניגשים לאישורי TLS
יש שתי דרכים לגשת לאישורי Transport Layer Security (TLS) של דואר נכנס ודואר יוצא:
מריצים את הפקודה הבאה:
openssl s_client -starttls smtp -connect [hostname]:25 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'משתמשים בקטע הקוד הבא של Python:
import smtplib import ssl connection = smtplib.SMTP() connection.connect('[hostname].') connection.starttls() print(ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True)))
במאפיין [hostname] צריך להשתמש בערך הנכון באופן הבא:
- Inbound SMTP (דואר SMTP נכנס) –
aspmx.l.google.com - Outbound (SMTP relay) –
smtp-relay.gmail.com - Outbound (MSA) –
smtp.gmail.com
חיפוש דרכים אחרות לגשת לאישורי TLS
כדי למצוא דרכים אחרות לגשת לאישורים, אפשר לחפש את המונח extracting certificate from TLS server (שליפת אישור משרת TLS).
חשוב לשים לב להנחיות הבאות לגבי אישורי TLS:
- האישורים נחתמים על ידי GlobalSign R2 CA (GS Root R2).
- לפחות צריך לתת אמון באישורים שמפורטים בכתובת https://pki.goog/roots.pem.
- האישורים משותפים בין המארחים.
- לכל קבוצה של אישורים יש תאריך תפוגה. אישורים חדשים יוחלפו לפני התאריך הזה, ובזמן הפריסה של האישורים החדשים, תוכלו להשתמש בכל אחד מהאישורים לחיבור.
- ההודעות שמועברות בין לקוחות Gmail לבין השרתים מוצפנות באמצעות חיבור HTTPS עם הצפנה של 128 ביט, בשימוש ב-TLS 1.2. החיבור מוצפן ומאומת באמצעות AES_128_GCM. מנגנון חילופי המפתח הוא ECDHE_RSA.
- התקשורת בין Gmail לבין לקוחות ושרתים שהם לא של Gmail נתמכת באמצעות SSL3 עד TLS1.2, והלקוח בוחר מתוך רשימה של הצפנות, החלפת מפתחות ואורכי ביטים.
- הביטים הנתמכים הם 112/168 עבור DES, 128 עבור RC4 ו-128 או 256 עבור תקן הצפנה מתקדם (AES).