אתם יכולים להשתמש באישור Transport Layer Security (TLS) כדי להצפין את האימיילים של המשתמשים שלכם למשלוח מאובטח של אימיילים נכנסים ויוצאים.
איך ניגשים לאישורי TLS
יש שתי דרכים לגשת לאישורי Transport Layer Security (TLS) של הודעות נכנסות והודעות יוצאות:
מריצים את הפקודה הבאה:
openssl s_client -starttls smtp -connect [hostname]:25 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'משתמשים בקטע הקוד הבא של Python:
import smtplib import ssl connection = smtplib.SMTP() connection.connect('[hostname].') connection.starttls() print(ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True)))
במאפיין [hostname] צריך להשתמש בערך הנכון באופן הבא:
- Inbound SMTP –
aspmx.l.google.com - Outbound (SMTP relay) –
smtp-relay.gmail.com - Outbound (MSA) –
smtp.gmail.com
חיפוש דרכים אחרות לגשת לאישורי TLS
כדי למצוא דרכים אחרות לגשת לאישורים, אפשר לחפש את המונח extracting certificate from TLS server (שליפת אישור משרת TLS).
חשוב לשים לב להנחיות הבאות לגבי אישורי TLS:
- האישורים נחתמים על ידי GlobalSign R2 CA (GS Root R2).
- לפחות צריך לתת אמון באישורים שמפורטים בכתובת https://pki.goog/roots.pem.
- האישורים משותפים בין המארחים.
- לכל קבוצה של אישורים יש תאריך תפוגה. האישורים החדשים יוחלפו לפני התאריך הזה, ובזמן הפריסה שלהם תוכלו להשתמש בכל אחד מהאישורים לחיבור.
- ההודעות שמועברות בין לקוחות Gmail לבין השרתים מוצפנות באמצעות חיבור HTTPS עם הצפנה של 128 ביט, באמצעות TLS 1.2. החיבור מוצפן ומאומת באמצעות AES_128_GCM. מנגנון חילופי המפתחות הוא ECDHE_RSA.
- התקשורת בין Gmail לבין לקוחות ושרתים שהם לא של Gmail נתמכת באמצעות SSL3 עד TLS1.2, והלקוח בוחר מתוך רשימה של הצפנות, החלפת מפתחות ואורכי ביטים.
- הביטים הנתמכים הם 112/168 עבור DES, 128 עבור RC4 ו-128 או 256 עבור תקן הצפנה מתקדם (AES).