Ce este StartTLS?

Te-ai întrebat vreodată cum este trimis e-mailul în siguranță de la un server la altul? Când folosim protocolul SMTP (Simple Mail Transfer Protocol) pentru a trimite e-mailuri, ne bazăm pe o combinație de StartTLS și Transport Layer Security (TLS) sau Secure Sockets Layer (SSL) pentru a ne cripta corespondența și pentru a le ajuta să ajungă în siguranță în căsuța de e-mail.

Dar ce este StartTLS?

StartTLS este o comandă de protocol folosită pentru a informa serverul de e-mail că clientul de e-mail dorește să treacă de la o conexiune nesigură la una sigură folosind TLS sau SSL. StartTLS este folosit cu SMTP și IMAP, în timp ce POP3 utilizează comanda ușor diferită pentru criptare, STLS.

Vom cerceta diferențele dintre TLS și SSL, procesul StartTLS și cum să testați StartTLS pentru programul dvs.

Cum funcționează StartTLS?

TLS vs. SSL

Chiar dacă „TLS” este în numele său, StartTLS funcționează cu ambele protocoale de criptare, TLS și SSL.

În timp ce StartTLS funcționează cu ambele protocoale, vă recomandăm să utilizați TLS peste SSL. SSL este un protocol mai vechi și nu este la fel de sigur ca succesorul său, TLS. SSLv2 și SSLv3 au fost ambele depreciate.

Pentru referință, iată o listă de protocoale SSL și TLS de la cel mai vechi la cel mai nou:

SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2, TLSv1.3

Atât clientul de e-mail, cât și serverul de e-mail trebuie să convină asupra conexiunii de utilizat. Clientul de e-mail poate suporta TLSv1.3, dar serverul de e-mail poate accepta doar până la TLSv1.2. Aceasta înseamnă că ambele părți vor trebui să utilizeze TLSv1.2 pentru a continua cu criptarea.

Pentru și mai multe informații despre TLS vs. SSL, consultați pagina noastră de documente .

Procesul StartTLS

SMTP începe întotdeauna necriptat. Comanda StartTLS începe negocierea între server și client. Iată o schiță a comunicării care are loc între clientul de e-mail și serverul de e-mail.

1. Procesul începe cu protocolul de control al transmisiei (TCP) pentru a ajuta atât clientul de e-mail, cât și serverul să se identifice reciproc.
2. Serverul identifică cu 220 Ready că clientul de e-mail poate continua cu comunicarea.
3. Clientul trimite serverul „EHLO” pentru a informa serverul că clientul ar dori să utilizeze SMTP extins (versiunea mai avansată de SMTP care vă permite să includeți imagini, atașamente etc.).
4. Clientul trimite „250-STARTTLS” la serverul de e-mail pentru a întreba dacă StartTLS este sau nu acceptat.
5. Dacă serverul trimite înapoi „go head”, poate fi creată conexiunea StartTLS.
6. Clientul repornește conexiunea și mesajul de e-mail a fost criptat.

Iată o reprezentare vizuală a procesului StartTLS.

Ce port ar trebui să folosești?

Portul care utilizează cel mai des StartTLS este portul 587. Adesea necesită clienților de e-mail să folosească StartTLS pentru a trimite e-mail. Alte porturi folosite pentru a trimite e-mailuri criptate sunt 25, 465 și 2525. Deoarece portul 25 a fost conceput pentru transferul de e-mail, nu pentru trimitere, ISP-ul dvs. poate bloca e-mailurile trimise prin acest port. Portul 465 este al doilea cel mai frecvent utilizat port pentru StartTLS.

TLS oportunist versus forțat

Există câteva moduri diferite de a vă configura programul de criptare a e-mailului utilizând fie TLS oportunist, fie TLS forțat:

TLS oportunist (sau TLS explicit) permite clientului de e-mail să livreze la cel mai înalt nivel de criptare acceptat de serverul destinatar. Dacă serverul destinatar nu acceptă TLS, clientul de e-mail va negocia cu serverul și va fi de acord să treacă la o conexiune necriptată. Mesajul va fi apoi trimis într-o formă de text simplu, necriptată. Această metodă este utilă deoarece puteți utiliza același port atât pentru e-mail criptat, cât și pentru e-mail simplu.

TLS forțat (sau TLS implicit) necesită ca e-mailul să fie trimis printr-o conexiune securizată. Dacă conexiunea nu este criptată, trimiterea e-mailului va fi blocată. Această metodă este mult mai sigură decât Opportunistic TLS, dar duce la eliminarea mai multor e-mailuri.

Ambele abordări sunt utilizate pe scară largă în lumea e-mailului, așa că luați în considerare ceea ce are cel mai mult sens pentru programul dvs. Dacă trimiteți e-mailuri care conțin informații sensibile, cu caracter personal, poate fi cel mai bine să utilizați Forțat TLS. Pe de altă parte, dacă trimiteți materiale nesensibile, cum ar fi marketing sau promoții, este posibil să fiți mai înclinat să utilizați Opportunistic TLS.

Alte cazuri de utilizare TLS

TLS este folosit frecvent pentru criptarea unei varietăți de metode de comunicare în afara e-mailului. Întrucât TLS este un protocol relativ simplu, în mai mulți pași, face ușor ajustarea pentru o varietate de tipuri de comunicare. Acestea includ browsere web, SMS și Voice over IP. De fapt, multe companii folosesc TLS pentru a cripta toate comunicările dintre serverele lor web și browsere, chiar dacă majoritatea comunicării nu este material sensibil.

Pentru mai multe informații despre modul în care Twilio utilizează TLS, consultați pagina de securitate a Twilio .

De ce este important StartTLS?

SMTP nu este securizat în mod implicit, ceea ce înseamnă că dacă ar fi să trimiteți e-mail prin SMTP fără StartTLS, e-mailul ar putea fi interceptat și ușor de interpretat. Acest lucru este deosebit de îngrijorător atunci când trimiteți informații sensibile, personale, cum ar fi nume de utilizator, parole sau informații bancare.

Fără StartTLS, informațiile dumneavoastră personale riscă să fie furate.

Când un client de e-mail folosește StartTLS, informează serverul că conținutul trebuie criptat. În acest fel, dacă e-mailul este interceptat, conținutul a fost amestecat și este foarte dificil de descifrat. Serverul de e-mail și clientul de e-mail sunt singurele care dețin cheia pentru a decoda mesajul.

Dezavantaje

Există anumite dezavantaje în utilizarea StartTLS. Clienții de e-mail sunt susceptibili la atacuri man-in-the-middle deoarece, în conexiunea inițială dintre clientul de e-mail și server, adresele IP nu sunt criptate.

Utilizarea StartTLS ar putea adăuga, de asemenea, o anumită latență conexiunii SMTP. Acest lucru nu ar fi suficient de întârziere pentru a face necesară trimiterea de e-mailuri necriptate, dar este bine de reținut.

Cum testez StartTLS?

Este important să testați în avans pentru a vă asigura că serverul este capabil să proceseze StartTLS. Dacă nu este capabil să proceseze StartTLS, puteți trimite accidental o cantitate destul de mare de e-mail care nu este criptat și, prin urmare, este susceptibil la vectori de atac.

Iată un exemplu despre cum ați testa StartTLS de pe serverul SMTP al SendGrid.

Cum folosește Twilio SendGrid StartTLS?

Twilio SendGrid acceptă TLS v1.1 și o versiune ulterioară. Conexiunile necriptate și TLS sunt acceptate pe porturile 25, 587 și 2525. Sau vă puteți conecta prin SSL pe portul 465.

Urmăm TLS Opportunistic și trimitem la cel mai înalt nivel de criptare acceptat de serverul destinatar. Oferim și TLS aplicat . Este alegerea dvs. dacă doriți sau nu ca e-mailul dvs. să fie trimis printr-o conexiune criptată. Dacă serverul destinatar nu acceptă mesaje criptate, mesajul este abandonat și trimitem un eveniment de blocare.

În principal, veți interacționa cu StartTLS atunci când inițiați cererea SMTP către Twilio SendGrid, cerând să trimiteți e-mail. În caz contrar, Twilio SendGrid se ocupă de potrivirea certificatelor TLS, de restul procesului de criptare și de orice probleme care pot apărea pe parcurs.

Pentru mai multe informații despre Twilio SendGrid și SMTP, accesați articolul nostru din documente, Cum se trimite un e-mail SMTP .