úterý 24. ledna 2017

Jak zkontrolovat verzi TLS v SMTP serveru

Jak zkontrolovat verzi TLS v SMTP serveru

Za poslední dvě dekády se enormně zvýšil počet uživatelů internetu a protokoly SSL a TLS plnili funkci ochrany komunikace uživatelů při používání různých aplikací, ať už se jedná o prohlížení webu nebo posílání emailů.

SSL v3, TLS v1.0 a TLS v1.1 bývali bezchybnými protokoly, ale po mnoho útocích, například Heartbeat, Beast, Poodle a Crime, které útočili na staré způsoby šifrování SSL a TLS byla jejich další ochrana nemožná. Proto se SSL přestalo používat a vznikla nová verze TLS, a to verze TLS v1.2.  

Pokud používáte vlastní mailový server, musíte zajistit, aby zabezpečení vašich dat bylo na dostatečné úrovni. Nejaktuálnější verze protokolu TLS je verze v1.2. Pro podrobnosti týkající se SSL a TLS, doporučuji tento článek na Wikipedia - Transport Layer Security. 

Existuje několik webů, na kterých můžete ověřit, jakou verzi SSL a TLS, váš webový server používá. Například:

http://www.checktls.com/index.html
https://ssl-tools.net/mailservers

Tyto testy jsou důležité, protože zjistí, zda je váš webový server dostatečně zabezpečen na všech TCP portech, které jsou používány pro příchozí a odchozí komunikaci s SSL a TLS, a to i na portech 993, 995, 587 a 465.   

Kromě SSL a TLS existuje několik dalších protokolů, u kterých musíte zajistit, zda je váš server je podporuje a zda jste dostatečně ochráněn před útoky: 
1. PFS (Perfect Forward Secrecy),
2. Heartbleed
3. BEAST (Browser Exploit Against SSL/TLS) 
4. POODLE
5. CRIME (Compression Ratio Info-leak Made Easy)
6. Nedostatešné šifrování. Pro optimální ochranu použijte následující:
    "ALL:!ECDHE-RSA-RC4-SHA:!ADH:!LOW:!EXP:!MD5:!RC4-SHA:@STRENGTH"
7. SHA256

Shrnutím je, že váš server musí podporovat TLS v1.2, PFS, chránit před Heartbleed, a silné šifry pro dostatečnou ochranu před útoky. Není jednoduché nastavit emailový server a zajistit, aby vše správně fungovalo. Jednou z možností je použití mailového serveru EVO Mail Server, který má automaticky již všechno zabudované. Zpětná kompatibilita s SSL v3, TLS v1.0 a TLS v1.1 je pro reálné použití stále důležitá, protože ně všechny servery a mailové aplikace byly aktualizovány o podporu TLS v1.2.

Žádné komentáře:

Okomentovat