Используйте TLS-сертификаты для безопасной передачи данных.

Для шифрования почты пользователей при входящей и исходящей безопасной доставке можно использовать сертификаты протокола Transport Layer Security (TLS).

Как получить доступ к TLS-сертификатам

Доступ к входящим и исходящим сертификатам протокола Transport Layer Security (TLS) можно получить двумя способами:

  • Выполните следующую команду:

    openssl s_client -starttls smtp -connect [hostname]:25 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

  • Воспользуйтесь следующим фрагментом кода на Python:

    import smtplib
import ssl

connection = smtplib.SMTP()
connection.connect('[hostname].')
connection.starttls()
print(ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True)))

Для поля [имя хоста] используйте правильное значение следующим образом:

  • Входящий SMTP-адресaspmx.l.google.com
  • Исходящая почта (SMTP-ретранслятор)smtp-relay.gmail.com
  • Исходящая почта (MSA)smtp.gmail.com

Найдите другие способы доступа к TLS-сертификатам.

Чтобы найти другие способы доступа к сертификатам, выполните поиск по запросу "извлечение сертификата с TLS-сервера" .

Обратите внимание на следующие рекомендации по использованию TLS-сертификатов:

  • Сертификаты подписаны центром сертификации GlobalSign R2 CA (GS Root R2) .
  • Как минимум, доверяйте сертификатам, перечисленным по адресу https://pki.goog/roots.pem .
  • Сертификаты используются совместно на нескольких хостах.
  • Любой набор сертификатов имеет срок действия. Новые сертификаты заменяются до истечения этого срока, и пока развертываются новые сертификаты, для подключения можно использовать любой из них.
  • Для обмена данными между клиентами и серверами Gmail сообщения шифруются по HTTPS-соединению с использованием 128-битного шифрования и протокола TLS 1.2. Соединение шифруется и аутентифицируется с помощью AES_128_GCM. Механизм обмена ключами — ECDHE_RSA.
  • Связь между клиентами и серверами Gmail и сторонними сервисами поддерживается с использованием протоколов SSL3–TLS1.2, при этом клиент выбирает из списка алгоритмов шифрования, параметры обмена ключами и длину битов.
  • Поддерживаются следующие биты: 112/168 для DES, 128 для RC4 и 128 или 256 для Advanced Encryption Standard (AES).