Ενημέρωση και αλλαγή από tls1.1 σε tls1.2 (only)
Ποιες είναι οι διαφορές SSL/TLS έναντι STARTTLS;
Το Secure Socket Layer (SSL) και τοTransport Layer Security (TLS) είναι και τα δύο πρωτόκολλα ισχυρής κρυπτογράφησης που παρέχουν ασφάλεια στην επικοινωνία σε ένα δίκτυο. Δίκτυο εννοούμε για παράδειγμα, όταν ένας client συνδέεται με ένα server.
Όπως ήδη θα γνωρίζετε, οι εκδόσεις που υποστηρίζονται πλέον από την υποδομή μας είναι οι TLS v1.2 & v1.3. Οι υπόλοιπες εκδόσεις έχουν καταργηθεί λόγω γνωστών ευπαθειών.
Σε αυτό το άρθρο μπορείτε να δείτε με ποια έκδοση TLS είναι συμβατή η πλατφόρμα λογισμικού ή το λειτουργικό σύστημα που χρησιμοποιείτε.
Το STARTTLS διαφέρει απο το SSL και το TLS καθώς δεν είναι πρωτόκολλο επικοινωνίας. Είναι μια εντολή πρωτοκόλλου που χρησιμοποιείται για να ενημερώσει τον email server ότι ο email client θέλει να αναβαθμίσει τη σύνδεση από μη ασφαλή σε ασφαλή σύνδεση, χρησιμοποιώντας SSL ή ΤLS πρωτόκολλο.
Επικείμενες αλλαγές στη mail υπηρεσία
Για να επιτευχθεί αυτό, στην υποδομή μας έχουμε εφαρμόσει και υποστηρίζουμε όλες τις σύγχρονες μεθόδους κρυπτογράφησης που διασφαλίζουν την ασφαλή επικοινωνία μεταξύ του email server και των email clients/εφαρμογών που χρησιμοποιείτε.
Από την πλευρά σας, θα πρέπει να εγκαταλείψετε τα παλιά πρωτόκολλα επικοινωνίας τα οποία κρίνονται πλέον μη ασφαλή (αυτά προέρχονται κυρίως από παλιά λειτουργικά συστήματα και παλιές συσκευές) και να τα αναβαθμίσετε σε νέα. Σε αυτό το άρθρο μπορείτε να βρείτε περισσότερες πληροφορίες.
Επίσης εκτός από τους τους email clients που χρησιμοποιείτε, θα πρέπει να αναβαθμίσετε και όλες τις εφαρμογές, αλλά και τα plugins του site σας που επικοινωνούν με τo mail server (όπως φόρμες επικοινωνίας, SMTP WordPress Authentication κλπ.).
Παρακάτω σας αναφέρουμε κάποιες αλλαγές που θα πρέπει να ορίσετε στα πρωτόκολλα επικοινωνίας IMAP, POP3 & SMTP. (Σε περίπτωση που δεν γνωρίζετε ποιες είναι οι διαφορές μεταξύ τους, σε αυτό το άρθρο μπορείτε να ενημερωθείτε σχετικά.)
Επομένως, σας συστήνουμε να χρησιμοποιείτε:
IMAP
Ασφαλής θύρα: 993, με χρήση SSL/TLS (προτεινόμενο)
Μη ασφαλής θύρα: 143, με χρήση STARTTLS
POP3
Ασφαλής θύρα: 995, με χρήση SSL/TLS (προτεινόμενο)
Μη ασφαλής θύρα: 110, με χρήση STARTTLS
SMTP
Ασφαλής θύρα: 465, με χρήση SSL/TLS (προτεινόμενο)
Ασφαλής θύρα: 587, με χρήση STARTTLS (προτεινόμενο)
Μη ασφαλής θύρα: 25, με χρήση STARTTLS
Σε περίπτωση που για κάποιο λόγο δεν μπορεί να χρησιμοποιηθεί κάποια ασφαλής θύρα από αυτές που προτείνονται παραπάνω (π.χ. λόγω ύπαρξης firewall), τότε ως εναλλακτική λύση μπορείτε να χρησιμοποιήσετε τις default θύρες 143, 110 & 25 κάνοντας χρήση STARTTLS. Με αυτό τον τρόπο αναβαθμίζεται η σύνδεση από μη ασφαλή σε ασφαλή, εάν αυτό υποστηρίζεται από τον client και το server.
ΟΜΩΣ ΠΡΟΣΟΧΗ!
Στα πλαίσια αλλαγών για τη διασφάλιση προστασίας δεδομένων στη mail υπηρεσία, από εδώ και στο εξής στην υποδομή μας το unencrypted login καταργείται και θα είναι αποδεκτό μόνο το encrypted password. Για να το αλλάξετε αυτό στους mail clients, θα πρέπει στις ρυθμίσεις του εκάστοτε email λογαριασμού, να ορίσετε τη μέθοδο πιστοποίησης ή αλλιώς authentication method σε “Encrypted password”.
Δηλαδή, εάν χρησιμοποιήσετε τις default θυρες (143, 110 & 25) και κάνετε χρήση STARTTLS τότε θα πρέπει απαραίτητα στο Authentication method να επιλέξετε “Encrypted password” ώστε, όταν για κάποιο λόγο δεν γίνει encrypted η επικοινωνία, το password να είναι κρυπτογραφημένο για να μην φαίνεται σαν απλό κείμενο (plain text).
Παρακάτω μπορείτε να δείτε σχετικό παράδειγμα ρύθμισης email λογαριασμού στο Thunderbird, όπου γίνεται χρήση μη ασφαλών θυρών 143 (για IMAP) και 25 (για SMTP), STARTTLS και για λόγους ασφαλείας ως Authentication method θα πρέπει να ορίσουμε Encrypted password.
Σε καμία περίπτωση δεν πρέπει στο Authentication να επιλέξετε “Normal Password” ή κάποια άλλη επιλογή εκτός από “Encrypted password”, καθώς με αυτό τον τρόπο το password δεν κρυπογραφείται και μεταφέρεται ως απλό κείμενο. Για την πρόληψη αυτού του ενδεχόμενου, όπως αναφέραμε και παραπάνω, πλέον οι υπόλοιπες μέθοδοι πιστοποίησης δεν είναι αποδεκτές από την υποδομή μας.