none
Шифрование соединений с внешними серверами RRS feed

  • Вопрос

  • Добрый день! Если я не ошибаюсь, между внутренними серверами Exchange используется TLS для шифрования связи, что подтверждается строкой "version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256" в заголовках приходящих писем, но как обстоят дела при работе с внешними серверами? Насколько вообще безопасно использовать почту для пересылки конфиденциальных данных через открытые каналы связи? Поделитесь, пожалуйста, своим мнением на этот счёт.
    13 июля 2020 г. 13:32

Ответы

  • Насколько мне известно ситуация следующая - априори шифрования нет по smtp, т.е. между 2мя почтовыми серверами идёт незашифрованный траффик.

    Не так. По умолчанию TLS используется "по возможности" (Opportunistic TLS).

    При отправке, если в ответе на EHLO принимающий сервер сообщает о поддержке TLS (наличие команды STARTTLS в ответе), то Exchange переключает сессию в режим TLS (команда STARTTLS, после чего следует обычная последовательность команд сессии - EHLO и т.д.) с использованием сертификата принимающего сервера, при этом подлинность сертификата не проверяется.

    При приеме Exchange, если у него есть назначенный для SMTP сертификат, сообщает о поддержке TLS в ответе на EHLO и по команде STARTTLS со стороны отправителя переключает сессию в режим TLS.

    Все это можно увидеть в логе протокола SMTP.


    Слава России!

    13 июля 2020 г. 17:50

Все ответы

  • Насколько мне известно ситуация следующая - априори шифрования нет по smtp, т.е. между 2мя почтовыми серверами идёт незашифрованный траффик.

    Если вам нужно с какой-либо организацией организовать SMTPs, то вам нужно обменяться сертификатами почтовых серверов и настроить дополнительный кастомный коннектор в другую организацию (маны на этот счёт есть). В этом случае уже никто не сможет перехватить ваш smtp-траффик.

    13 июля 2020 г. 13:40
  • Насколько мне известно ситуация следующая - априори шифрования нет по smtp, т.е. между 2мя почтовыми серверами идёт незашифрованный траффик.

    Не так. По умолчанию TLS используется "по возможности" (Opportunistic TLS).

    При отправке, если в ответе на EHLO принимающий сервер сообщает о поддержке TLS (наличие команды STARTTLS в ответе), то Exchange переключает сессию в режим TLS (команда STARTTLS, после чего следует обычная последовательность команд сессии - EHLO и т.д.) с использованием сертификата принимающего сервера, при этом подлинность сертификата не проверяется.

    При приеме Exchange, если у него есть назначенный для SMTP сертификат, сообщает о поддержке TLS в ответе на EHLO и по команде STARTTLS со стороны отправителя переключает сессию в режим TLS.

    Все это можно увидеть в логе протокола SMTP.


    Слава России!

    13 июля 2020 г. 17:50
  • Правильно ли я понял, исходя из всего вышесказанного, что при работе с внешними серверами шифрование не гарантируется, но в большинстве случаев выполняется (обычный пользователь на принимающей стороне может определить, выполнялось ли шифрование, при помощи анализа заголовка входящего письма). Если же нам требуется гарантированное шифрование, то следует установить на почтовых серверах обменивающихся корреспонденцией сторон сертификаты друг друга, а также настроить выделенные соединители отправки и получения?

    14 июля 2020 г. 11:29
  • Да, верно.
    14 июля 2020 г. 13:50