StartTLS nedir?

E-postanın bir sunucudan diğerine nasıl güvenli bir şekilde gönderildiğini hiç merak ettiniz mi? Posta göndermek için Basit Posta Aktarım Protokolü'nü (SMTP) kullanırken, postamızı şifrelemek ve gelen kutusuna güvenli bir şekilde ulaşmasına yardımcı olmak için StartTLS ve Aktarım Katmanı Güvenliği (TLS) veya Güvenli Yuva Katmanı (SSL) kombinasyonuna güveniriz.

Ancak StartTLS nedir?

StartTLS, e-posta istemcisinin güvenli olmayan bir bağlantıdan TLS veya SSL kullanarak güvenli bir bağlantıya yükseltmek istediğini e-posta sunucusuna bildirmek için kullanılan bir protokol komutudur. StartTLS, SMTP ve IMAP ile kullanılırken POP3, şifreleme için biraz farklı olan STLS komutunu kullanır.

TLS ve SSL arasındaki farkları, StartTLS sürecini ve programınız için StartTLS'yi nasıl test edeceğinizi inceleyeceğiz.

StartTLS nasıl çalışır?

TLS ve SSL

Adında TLS olsa da StartTLS hem TLS hem de SSL şifreleme protokolleri ile çalışır.

StartTLS her iki protokolle de çalışırken, SSL üzerinden TLS kullanmanızı öneririz. SSL daha eski bir protokoldür ve halefi TLS kadar güvenli değildir. SSLv2 ve SSLv3'ün ikisi de kullanımdan kaldırıldı.

Başvuru için, en eskiden en yeniye doğru bir SSL ve TLS protokolleri listesi:

SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2, TLSv1.3

Hem e-posta istemcisi hem de e-posta sunucusunun hangi bağlantının kullanılacağı konusunda anlaşmaya varması gerekir. E-posta istemcisi TLSv1.3'ü destekleyebilir, ancak e-posta sunucusu yalnızca TLSv1.2'ye kadar destekleyebilir. Bu, şifrelemeye devam etmek için her iki tarafın da TLSv1.2 kullanması gerekeceği anlamına gelir.

TLS ve SSL hakkında daha fazla bilgi için dokümanlar sayfamıza bakın .

StartTLS süreci

SMTP her zaman şifrelenmemiş olarak başlar. StartTLS komutu, sunucu ve istemci arasındaki anlaşmayı başlatır. İşte e-posta istemcisi ve e-posta sunucusu arasında gerçekleşen iletişimin bir özeti.

1. İşlem, hem e-posta istemcisinin hem de sunucunun birbirini tanımlamasına yardımcı olmak için İletim Kontrol Protokolü (TCP) anlaşmasıyla başlar.
2. Sunucu, e-posta istemcisinin iletişime devam edebileceğini 220 Ready ile tanımlar.
3. İstemci, sunucuya, istemcinin Genişletilmiş SMTP'yi (görüntüleri, ekleri vb. eklemenizi sağlayan SMTP'nin daha gelişmiş sürümü) kullanmak istediğini bildirmek için sunucuya "EHLO" gönderir.
4. İstemci, StartTLS'nin kabul edilip edilmediğini sormak için posta sunucusuna “250-STARTTLS” gönderir.
5. Sunucu geri "go head" gönderirse, StartTLS bağlantısı oluşturulabilir.
6. İstemci bağlantıyı yeniden başlatır ve e-posta mesajı şifrelenir.

İşte StartTLS işleminin görsel bir temsili.

Hangi portu kullanmalısınız?

StartTLS'yi en sık kullanan bağlantı noktası 587 numaralı bağlantı noktasıdır. Genellikle e-posta istemcilerinin posta göndermek için StartTLS kullanmasını gerektirir. Şifreli posta göndermek için kullanılan diğer bağlantı noktaları 25, 465 ve 2525'tir. 25 numaralı bağlantı noktası gönderim için değil posta aktarımı için tasarlandığından, ISP'niz bu bağlantı noktası üzerinden gönderilen e-postaları engelleyebilir. 465 numaralı bağlantı noktası, StartTLS için en sık kullanılan ikinci bağlantı noktasıdır.

Fırsatçı ve Zorunlu TLS

Fırsatçı TLS veya Zorunlu TLS kullanarak e-posta şifreleme programınızı kurmanın birkaç farklı yolu vardır:

Fırsatçı TLS (veya Açık TLS), e-posta istemcisinin alıcı sunucunun kabul ettiği en yüksek şifreleme düzeyinde teslim etmesine olanak tanır. Alıcı sunucu TLS'yi kabul etmezse, e-posta istemcisi sunucuyla görüşür ve şifrelenmemiş bir bağlantıya geçmeyi kabul eder. Mesaj daha sonra şifrelenmemiş, düz metin biçiminde gönderilecektir. Bu yöntem kullanışlıdır çünkü aynı bağlantı noktasını hem şifreli hem de düz metin posta için kullanabilirsiniz.

Zorunlu TLS (veya Örtülü TLS), postanın güvenli bir bağlantı üzerinden gönderilmesini gerektirir. Bağlantı şifrelenmemişse, postanın gönderilmesi engellenir. Bu yöntem Fırsatçı TLS'den çok daha güvenlidir, ancak daha fazla postanın düşmesine neden olur.

Her iki yaklaşım da e-posta dünyasında yaygın olarak kullanılmaktadır, bu nedenle programınız için en mantıklı olanı düşünün. Hassas, kişisel bilgiler içeren e-posta gönderiyorsanız, Zorunlu TLS'yi kullanmak en iyisi olabilir. Öte yandan, pazarlama veya promosyonlar gibi hassas olmayan materyaller gönderiyorsanız, Fırsatçı TLS'yi kullanmaya daha meyilli olabilirsiniz.

Diğer TLS kullanım örnekleri

TLS, e-posta dışında çeşitli iletişim yöntemlerini şifrelemek için sıklıkla kullanılır. TLS nispeten basit, çok adımlı bir protokol olduğundan, çeşitli iletişim türleri için ayarlamayı kolaylaştırır. Buna web tarayıcıları, SMS ve IP üzerinden Ses dahildir. Aslında, birçok şirket, iletişimin çoğu hassas malzeme olmasa bile, web sunucuları ve tarayıcıları arasındaki tüm iletişimi şifrelemek için TLS kullanır.

Twilio'nun TLS'yi nasıl kullandığı hakkında daha fazla bilgi için Twilio'nun Güvenlik sayfasına bakın .

StartTLS neden önemlidir?

SMTP varsayılan olarak güvenli değildir; bu, SMTP üzerinden StartTLS olmadan e-posta gönderecek olursanız, e-postanın ele geçirilebileceği ve kolayca yorumlanabileceği anlamına gelir. Bu, özellikle kullanıcı adları, şifreler veya banka bilgileri gibi hassas, kişisel bilgiler gönderilirken endişe vericidir.

StartTLS olmadan, kişisel bilgileriniz çalınma riski altındadır.

Bir e-posta istemcisi StartTLS'yi kullandığında, sunucuya içeriğin şifrelenmesi gerektiğini bildirir. Bu şekilde, eğer posta ele geçirilirse, içerik karıştırılmıştır ve deşifre edilmesi çok zordur. E-posta sunucusu ve e-posta istemcisi, mesajın kodunu çözmek için anahtarı elinde tutanlardır.

Dezavantajları

StartTLS kullanmanın bazı sakıncaları vardır. E-posta istemcileri, e-posta istemcisi ile sunucu arasındaki ilk bağlantıda IP adresleri şifrelenmediğinden, ortadaki adam saldırılarına açıktır.

StartTLS'yi kullanmak, SMTP bağlantısına biraz gecikme de ekleyebilir. Bu, şifrelenmemiş e-posta göndermeyi gerekli kılmak için yeterli bir gecikme olmayacaktır, ancak akılda tutmakta fayda var.

StartTLS'yi nasıl test ederim?

Sunucunun StartTLS'yi işleyebildiğinden emin olmak için önceden test etmek önemlidir. StartTLS'yi işleyemiyorsa, yanlışlıkla şifrelenmemiş ve bu nedenle saldırı vektörlerine açık olan oldukça fazla e-posta gönderebilirsiniz.

İşte SendGrid'in SMTP sunucusundan StartTLS'yi nasıl test edeceğinize dair bir örnek.

Twilio SendGrid, StartTLS'yi nasıl kullanır?

Twilio SendGrid, TLS v1.1 ve üstünü destekler. 25, 587 ve 2525 numaralı bağlantı noktalarında şifrelenmemiş ve TLS bağlantıları kabul edilir. Veya 465 numaralı bağlantı noktasında SSL üzerinden bağlanabilirsiniz.

Fırsatçı TLS'yi takip eder ve alıcı sunucunun kabul ettiği en yüksek şifreleme düzeyinde göndeririz. Ayrıca Zorunlu TLS sunuyoruz . E-postanızın şifreli bir bağlantı üzerinden gönderilmesini isteyip istemediğiniz sizin seçiminizdir. Alıcı sunucu şifreli mesajları kabul etmezse mesaj bırakılır ve bir blok olayı göndeririz.

Esas olarak, Twilio SendGrid'e SMTP isteğini başlatırken, posta göndermek için istekte bulunurken StartTLS ile etkileşime girersiniz. Aksi takdirde, Twilio SendGrid, TLS sertifikalarının eşleşmesini, şifreleme işleminin geri kalanını ve yol boyunca ortaya çıkabilecek sorunları ele alır.

Twilio SendGrid ve SMTP hakkında daha fazla bilgi için, SMTP E-postası Nasıl Gönderilir adlı belge makalemize gidin .