ما هو StartTLS؟

هل تساءلت يومًا كيف يتم إرسال البريد الإلكتروني بشكل آمن من خادم إلى آخر؟ عند استخدام بروتوكول نقل البريد البسيط (SMTP) لإرسال البريد ، فإننا نعتمد على مزيج من StartTLS وأمان طبقة النقل (TLS) أو طبقة مآخذ التوصيل الآمنة (SSL) لتشفير بريدنا ومساعدته على الهبوط بأمان في صندوق الوارد.

ولكن ما هو StartTLS؟

StartTLS هو أمر بروتوكول يُستخدم لإبلاغ خادم البريد الإلكتروني بأن عميل البريد الإلكتروني يريد الترقية من اتصال غير آمن إلى اتصال آمن باستخدام TLS أو SSL. يتم استخدام StartTLS مع SMTP و IMAP ، بينما يستخدم POP3 الأمر المختلف قليلاً للتشفير ، STLS.

سنبحث في الاختلافات بين TLS و SSL وعملية StartTLS وكيفية اختبار StartTLS لبرنامجك.

كيف يعمل StartTLS؟

TLS مقابل SSL

على الرغم من أن "TLS" موجود في اسمه ، إلا أن StartTLS يعمل مع بروتوكولات التشفير ، TLS و SSL.

بينما يعمل StartTLS مع كلا البروتوكولين ، نوصي باستخدام TLS عبر SSL. SSL هو بروتوكول أقدم وليس آمنًا مثل بروتوكول TLS الذي خلفه. تم إهمال كل من SSLv2 و SSLv3.

كمرجع ، إليك قائمة ببروتوكولات SSL و TLS من الأقدم إلى الأحدث:

SSLv2 ، SSLv3 ، TLSv1.0 ، TLSv1.1 ، TLSv1.2 ، TLSv1.3

يجب أن يتفق كل من عميل البريد الإلكتروني وخادم البريد الإلكتروني على الاتصال الذي يجب استخدامه. قد يدعم عميل البريد الإلكتروني TLSv1.3 ، لكن خادم البريد الإلكتروني قد يدعم فقط TLSv1.2. هذا يعني أن كلا الطرفين سيحتاج إلى استخدام TLSv1.2 لمتابعة التشفير.

لمزيد من المعلومات حول TLS مقابل SSL ، تحقق من صفحة المستندات الخاصة بنا .

عملية StartTLS

يبدأ SMTP دائمًا بدون تشفير. يبدأ الأمر StartTLS التفاوض بين الخادم والعميل. فيما يلي مخطط تفصيلي للاتصال الذي يحدث بين عميل البريد الإلكتروني وخادم البريد الإلكتروني.

1. تبدأ العملية بمصافحة بروتوكول التحكم في الإرسال (TCP) لمساعدة كل من عميل البريد الإلكتروني والخادم على التعرف على بعضهما البعض.
2. يتعرف الخادم بـ 220 جاهز على أنه يمكن لعميل البريد الإلكتروني متابعة الاتصال.
3. يرسل العميل إلى الخادم "EHLO" لإعلام الخادم بأن العميل يرغب في استخدام Extended SMTP (الإصدار الأكثر تقدمًا من SMTP الذي يتيح لك تضمين الصور والمرفقات وما إلى ذلك).
4. يرسل العميل "250-STARTTLS" إلى خادم البريد ليسأل ما إذا كان يتم قبول StartTLS أم لا.
5. إذا أرسل الخادم "go head" مرة أخرى ، فيمكن إنشاء اتصال StartTLS.
6. يقوم العميل بإعادة الاتصال وتم تشفير رسالة البريد الإلكتروني.

إليك تمثيل مرئي لعملية StartTLS.

أي منفذ يجب أن تستخدم؟

غالبًا ما يكون المنفذ الذي يستخدم StartTLS هو المنفذ 587. وغالبًا ما يتطلب من عملاء البريد الإلكتروني استخدام StartTLS لإرسال البريد. المنافذ الأخرى المستخدمة لإرسال بريد مشفر هي 25 و 465 و 2525. نظرًا لأن المنفذ 25 مصمم لنقل البريد وليس الإرسال ، فقد يقوم موفر خدمة الإنترنت بحظر البريد الإلكتروني المرسل عبر هذا المنفذ. المنفذ 465 هو ثاني أكثر المنافذ استخدامًا لـ StartTLS.

الانتهازية مقابل TLS القسري

هناك طريقتان مختلفتان لإعداد برنامج تشفير البريد الإلكتروني الخاص بك عن طريق استخدام TLS الفرص أو TLS المفروضة:

يسمح TLS الانتهازي (أو TLS الصريح) لعميل البريد الإلكتروني بتقديم أعلى مستوى تشفير يقبله خادم المستلم. إذا كان خادم المستلم لا يقبل TLS ، فسيتفاوض عميل البريد الإلكتروني مع الخادم ويوافق على الرجوع إلى اتصال غير مشفر. سيتم بعد ذلك إرسال الرسالة في شكل نص عادي غير مشفر. هذه الطريقة مفيدة لأنه يمكنك استخدام نفس المنفذ لكل من البريد الإلكتروني المشفر والنص العادي.

يتطلب TLS (أو TLS الضمني) إرسال البريد عبر اتصال آمن. إذا لم يتم تشفير الاتصال ، فسيتم حظر إرسال البريد. تعد هذه الطريقة أكثر أمانًا من TLS الانتهازية ، ولكنها تؤدي إلى إسقاط المزيد من البريد.

يتم استخدام كلا الأسلوبين على نطاق واسع في عالم البريد الإلكتروني ، لذا ضع في اعتبارك ما هو الأكثر منطقية لبرنامجك. إذا كنت ترسل بريدًا إلكترونيًا يحتوي على معلومات شخصية حساسة ، فقد يكون من الأفضل استخدام Enforced TLS. من ناحية أخرى ، إذا كنت ترسل مواد غير حساسة ، مثل التسويق أو العروض الترويجية ، فقد تكون أكثر ميلًا لاستخدام TLS الانتهازية.

حالات استخدام TLS الأخرى

كثيرًا ما يتم استخدام TLS لتشفير مجموعة متنوعة من طرق الاتصال خارج البريد الإلكتروني. نظرًا لأن TLS هو بروتوكول بسيط نسبيًا متعدد الخطوات ، فإنه يجعل من السهل ضبطه لمجموعة متنوعة من أنواع الاتصالات. يتضمن ذلك متصفحات الويب ، والرسائل النصية القصيرة ، والصوت عبر IP. في الواقع ، تستخدم الكثير من الشركات بروتوكول TLS لتشفير جميع الاتصالات بين خوادم الويب والمتصفحات ، حتى لو لم تكن غالبية الاتصالات مادة حساسة.

لمزيد من المعلومات حول كيفية استخدام Twilio لـ TLS ، راجع صفحة أمان Twilio .

ما سبب أهمية StartTLS؟

لا يتم تأمين SMTP افتراضيًا ، مما يعني أنه إذا كنت سترسل بريدًا إلكترونيًا عبر SMTP بدون StartTLS ، فيمكن اعتراض البريد الإلكتروني وتفسيره بسهولة. هذا مثير للقلق بشكل خاص عند إرسال معلومات شخصية حساسة مثل أسماء المستخدمين أو كلمات المرور أو المعلومات المصرفية.

بدون StartTLS ، تتعرض معلوماتك الشخصية لخطر السرقة.

عندما يستخدم عميل البريد الإلكتروني StartTLS ، فإنه يُعلم الخادم بأنه يجب تشفير المحتوى. بهذه الطريقة ، إذا تم اعتراض البريد ، فإن المحتوى قد تم خلطه ويصعب فك تشفيره. خادم البريد الإلكتروني وعميل البريد الإلكتروني هما الوحيدان اللذان يحملان مفتاح فك تشفير الرسالة.

عيوب

هناك عيوب معينة لاستخدام StartTLS. عملاء البريد الإلكتروني عرضة لهجمات man-in-the-middle لأن عناوين IP غير مشفرة في الاتصال الأولي بين عميل البريد الإلكتروني والخادم.

يمكن أن يؤدي استخدام StartTLS أيضًا إلى إضافة بعض زمن الانتقال إلى اتصال SMTP. لن يكون هذا تأخيرًا كافيًا لضرورة إرسال بريد إلكتروني غير مشفر ، ولكن من الجيد أن تضع في اعتبارك.

كيف أقوم باختبار StartTLS؟

من المهم إجراء الاختبار مسبقًا للتأكد من أن الخادم قادر على معالجة StartTLS. إذا لم يكن قادرًا على معالجة StartTLS ، يمكنك عن طريق الخطأ إرسال قدر معقول من البريد الإلكتروني غير المشفر ، وبالتالي فهو عرضة للهجوم على المتجهات.

فيما يلي مثال لكيفية اختبار StartTLS من خادم SMTP الخاص بـ SendGrid.

كيف يستخدم Twilio SendGrid StartTLS؟

يدعم Twilio SendGrid TLS v1.1 والإصدارات الأحدث. يتم قبول اتصالات TLS وغير المشفرة في المنافذ 25 و 587 و 2525. أو يمكنك الاتصال عبر SSL على المنفذ 465.

نتبع TLS الانتهازي ونرسل على أعلى مستوى تشفير يقبله خادم المستلم. كما نقدم طبقة النقل الآمنة (Enforced TLS) . إنه خيارك ما إذا كنت تطلب إرسال بريدك الإلكتروني عبر اتصال مشفر أم لا. إذا كان خادم المستلم لا يقبل الرسائل المشفرة ، يتم إسقاط الرسالة ونرسل حدث حظر.

ستتفاعل بشكل أساسي مع StartTLS عند بدء طلب SMTP إلى Twilio SendGrid ، وطلب إرسال بريد. بخلاف ذلك ، يتعامل Twilio SendGrid مع مطابقة شهادات TLS وبقية عملية التشفير وأي مشكلات قد تظهر على طول الطريق.

لمزيد من المعلومات حول Twilio SendGrid و SMTP ، توجه إلى مقالة المستندات الخاصة بنا ، كيفية إرسال بريد إلكتروني عبر SMTP .