Za pomocą certyfikatów TLS możesz szyfrować przychodzące i wychodzące e-maile użytkowników, aby zwiększyć bezpieczeństwo wymiany poczty.
Uzyskiwanie dostępu do certyfikatów TLS
Dostęp do certyfikatów TLS poczty wychodzącej i przychodzącej możesz uzyskać na 2 sposoby:
Uruchom to polecenie:
openssl s_client -starttls smtp -connect [hostname]:25 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'Użyj tego fragmentu kodu w Pythonie:
import smtplib import ssl connection = smtplib.SMTP() connection.connect('[hostname].') connection.starttls() print(ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True)))
Zmienną [nazwa_hosta] zastąp odpowiednią wartością:
- Przychodzący ruch SMTP –
aspmx.l.google.com - Wychodzący ruch (przekaźnik SMTP) –
smtp-relay.gmail.com - Wychodzący ruch (MSA) –
smtp.gmail.com
Wyszukiwanie innych metod dostępu do certyfikatów TLS
Aby poznać inne metody uzyskiwania dostępu do tych certyfikatów, wyszukaj wyodrębnianie certyfikatu z serwera TLS.
Ważne zagadnienia związane z certyfikatami TLS:
- Certyfikaty są podpisane przez urząd certyfikacji GlobalSign R2 (GS Root R2).
- Ustaw jako zaufane przynajmniej certyfikaty wymienione na stronie https://pki.goog/roots.pem.
- Certyfikaty są udostępniane między hostami.
- Każdy zestaw certyfikatów ma datę ważności. Nowe certyfikaty są oddawane przed tą datą, a podczas wdrażania nowych certyfikatów możesz łączyć się przy użyciu zarówno starych, jak i nowych.
- Podczas komunikacji między klientami i serwerami Gmaila wiadomości są przesyłane przez HTTPS przy użyciu 128-bitowego szyfrowania TLS 1.2. Połączenie jest szyfrowane i uwierzytelniane przy użyciu AES_128_GCM. Mechanizmem wymiany kluczy jest ECDHE_RSA.
- Komunikacja między Gmailem i zewnętrznymi serwerami oraz klientami jest obsługiwana przy użyciu SSL3 protokołu TLS 1.2. Klient wybiera mechanizmy szyfrowania, wymiany kluczy i długości ciągu bitów.
- Obsługiwane ciągi bitów to 112/168 dla DES, 128 dla RC4 i 128 lub 256 dla AES.