Bezpieczeństwo Waszych danych utrzymywanych na poczcie e-mail to dla nas kluczowa kwestia.
W trosce o bezpieczeństwo Waszych danych, 1 listopada 2022 roku postanowiliśmy wdrożyć wymóg logowania do usług pocztowych przy użyciu protokołu SSL.
Czy wiecie, jaką rolę odgrywa certyfikat SSL w procesie logowania z pocztą e-mail? Czym są protokoły SSL, TLS? Czy szyfrowanie STARTTLS jest bezpieczne? Czy jesteście świadomi niebezpieczeństwa związanego z brakiem wdrożonego SSL dla połączenia e-mail? Nadszedł czas na aktualizację tej wiedzy!
W artykule poruszyliśmy ważne z punktu widzenia bezpieczeństwa kwestie dotyczące poczty e-mail. Przekonajcie się, jak w bezpieczny sposób korzystać z programów pocztowych, oraz jakie zmiany czekają użytkowników poczty w MSERWIS.pl.
Różnice szyfrowania SSL a TLS
Protokoły SSL i TLS to standardowe i szeroko stosowane technologie szyfrowania połączeń pomiędzy dwoma urządzeniami w sieci. Wdrożenie jednego z tych dwóch rozwiązań zapobiega szpiegowaniu komunikacji i kradzieży danych przez osoby trzecie. Szczególnie istotną rolą protokołów jest zapewnienie ochrony przed wyciekiem danych podczas korzystania z niezabezpieczonych, publicznych sieci WiFi (np. sieć hotelowa, restauracja).
Protokół SSL (ang. Secure Sockets Layer) występował w wersji 2.0 i 3.0. Wersja 1.0 nie została nigdy wydana, ponieważ posiadała poważane dziury w bezpieczeństwie.
Protokół TLS będący następcą SSL opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509. Protokół jest aktualnie wykorzystywany przez wszystkie nowoczesne i bezpieczne systemy obsługujące ruch internetowy, w tym MSERWIS.pl.
Mimo iż TLS praktycznie wyparł SSL, to nazwa „SSL” stała się na tyle popularna, że pod tym pojęciem kryje się zazwyczaj TLS.
Na dzień 25 października 2022 roku aktualnymi, bezpiecznymi wersjami TLS są 1.2 i 1.3. Wcześniejsze wersje TLS, w tym SSL nie są obecnie uznawane za bezpieczne, a ich używanie może doprowadzić do wycieku Waszych danych.
Czy wdrożenie logowania do usług pocztowych przy użyciu SSL gwarantuje pełne bezpieczeństwo?
Wdrożenie wymogu logowania przy użyciu protokołu SSL znacznie zwiększa poziom bezpieczeństwa, ale nie wyklucza w pełni możliwości wycieku hasła — może to nadal nastąpić w przypadku zainfekowania urządzenia użytkownika.
Złośliwe oprogramowanie, jakim są wirusy, najczęściej możecie pobrać, klikając w podejrzane linki, np. znajdujące się w wiadomości od nieznanych nadawców, nienaturalnie wyglądających wiadomości od znanych nadawców, czy pobierając na swój komputer lub smartfona oprogramowanie z niesprawdzonego źródła.
Kwestię możliwego wycieku hasła opisaliśmy szerzej w artykule.
SSL/TLS, STARTTLS, a połączenie nieszyfrowane
Zanim szyfrowanie stało się standardem, wiele systemów poczty elektronicznej korzystało z niezabezpieczonych protokołów, które używały portów: IMAP (143), POP (110), SMTP (25). Więcej informacji o samych portach znajdziecie w tym artykule.
Korzystanie z niezabezpieczonych lub przestarzałych protokołów naraża przesyłane dane (treści wiadomości i hasła do skrzynek) na ryzyko podsłuchu.
W procesie rozwoju sieci zaczęto używać nowych portów, z których mogą korzystać zabezpieczone protokoły. Aktualne porty, z których korzystają protokoły SSL/TLS to: IMAP (993), POP (995), SMTP (465).
Jednoczesne istnienie niezabezpieczonych i zabezpieczonych typów połączeń z serwerami skutkowało wystąpieniem problemu — aby program pocztowy mógł korzystać z obu typów połączeń na jednym porcie powstała więc komenda STARTTLS.
STARTTLS umożliwia nawiązanie na danym porcie zarówno połączenia szyfrowanego (działa zarówno z SSL jak i TLS) i nieszyfrowanego. Jest to uzależnione od relacji pomiędzy klientem a serwerem pocztowym.
Komenda STARTTLS pomaga więc zmniejszyć ryzyko szpiegowania komunikacji i kradzieży danych przez osoby trzecie.
Zgodnie z aktualnymi badaniami przeprowadzonymi przez badaczy bezpieczeństwa m.in. na 30 Sympozjum Bezpieczeństwa USENIX z sierpnia 2021 roku korzystanie z STARTTLS nie jest jednak w pełni bezpieczne.
Podsumowując — jedynym zalecanym sposobem komunikacji z pocztą e-mail jest połączenie przy użyciu protokołu SSL/TLS.
Sprawdźcie więc konfigurację swoich programów pocztowych i w ustawieniach zabezpieczeń ustawcie połączenie SSL/TLS, dla poczty przychodzącej (IMAP, POP) i wychodzącej (SMTP).
Zmiany w sposobie logowania do usług pocztowych
W związku z tym, że protokoły starszego typu nie spełniają wymogów bezpieczeństwa zdecydowaliśmy się na włączenie wymogu logowania do usług pocztowych przez IMAP, POP3, SMTP przy użyciu protokołu SSL/TLS. Będziemy wspierać wyłącznie protokół TLS w wersji 1.2 oraz wyższych.
Obligatoryjny wymóg logowania do usług pocztowych przy użyciu protokołu SSL zostanie uruchomiony w dniu 1 listopada 2022.
W jaki sposób bezpiecznie korzystać z poczty w MSERWIS.pl?
Chcąc korzystać z poczty w MSERWIS.pl możecie zalogować się do niej na dwa główne sposoby.
- Poprzez panel webowy naszego serwisu (inaczej Webmail) znajdujący się pod adresem: https://poczta.mserwis.pl/
Do korzystania z tego sposobu wystarczy jedynie przeglądarka internetowa. Nie wymaga to więc instalacji i konfiguracji zewnętrznych klientów pocztowych. Logowanie odbywa się automatycznie poprzez zabezpieczony protokół TLS. Jest to sprawdzony i wygodny sposób logowania się do poczty. Dzięki temu Wasze wiadomości pozostają na serwerze i nie ma konieczności ściągania ich na urządzenia lokalne.
- Alternatywnym sposobem połączenia się z pocztą, jest korzystanie z zewnętrznych programów pocztowych.
Ta metoda wymaga jednak instalacji i konfiguracji oprogramowania na Waszych urządzeniach. Na stronie pomocy znajdziecie poradniki dotyczące konfiguracji najpopularniejszych programów pocztowych takich jak: Outlook czy Thunderbird. Zaletą aplikacji są duże możliwości konfiguracyjne oraz rozbudowa ich funkcjonalności przez wtyczki i zewnętrzne rozszerzenia. Przy tym sposobie połączenia Wasze wiadomości mogą być w automatyczny sposób pobieranie na urządzenia lokalne.
W przypadku korzystania z programów pocztowych skonfigurujcie je tak, aby korzystały z protokołów SSL/TLS i zabezpieczonych portów: IMAP (993), POP (995), SMTP (465).
Połączenia szyfrowane a certyfikat SSL dla Waszej domeny
Podstawowym wymogiem koniecznym do korzystania z zabezpieczonych protokołów SSL/TLS jest to, aby Wasza domena, pod którą znajduje się poczta, była zabezpieczona certyfikatem SSL.
W przypadku wymuszonego logowania do usług pocztowych przy użyciu protokołu SSL czasami zdarzają się komunikaty bezpieczeństwa. Mogą one być spowodowane przykładowo: złymi ustawieniami programu, nieaktualną konfiguracją domeny czy brakiem zabezpieczenia domeny certyfikatem SSL.
Co zrobić w przypadku wystąpienia monitu bezpieczeństwa?
- W przypadku posiadania certyfikatu SSL wydanego dla domeny, w której znajduje się skrzynka pocztowa, zmieńcie konfigurację serwera pocztowego i w polu nazwa serwera zmieńcie “mail.twojanazwadomeny.pl” na “nazwadomeny.pl”.
- W przypadku nieposiadania certyfikatu SSL wydanego dla domeny, w której znajduje się skrzynka pocztowa, program pocztowy może wyświetlić monit bezpieczeństwa. W pierwszej kolejności zalecamy kupić taki certyfikat SSL, albo zrobić upgrade pakietu hostingowego, o czym piszemy w dalszej części tego artykułu.
W przypadku nieposiadania certyfikatu SSL wydanego dla Waszej domeny zalecamy zmianę konfiguracji serwera pocztowego z “mail.twojanazwadomeny” na “cpanelX.mserwis.pl”.
X to właściwy numer serwera, na który została oddelegowana poczta domeny. Numer znajdziecie po zalogowaniu się do panelu administracyjnego serwera cPanel i wybraniu Dane serwera > Nazwa serwera. Numer serwera jest również wyświetlany w adresie URL, po zalogowaniu do cPanel.
- Istnieje jeszcze jedna metoda, jaką jest dodanie w programie pocztowym wyjątku do reguł bezpieczeństwa, tak aby monit o niezabezpieczonym połączeniu nie pojawiał się w przyszłości. Dodanie wyjątku skutkuje jedynie niepojawianiem się komunikatu i nie ma realnego wpływu na poprawę bezpieczeństwa. Nie zalecamy tej metody, ponieważ Wasze dane pozostaną narażone na ryzyko kradzieży.
W jaki sposób uzyskać certyfikat SSL dla własnej domeny?
Certyfikat SSL dla domeny uzyskacie u nas, na jeden z dwóch sposobów:
- Poprzez zamówienie i zainstalowanie komercyjnego certyfikatu SSL.
Każdy z oferowanych w MSERWIS.pl certyfikatów zapewnia ochronę strony internetowej, wraz z pocztą, poprzez bezpieczne szyfrowanie transmisji danych. Posiadamy szeroki wachlarz certyfikatów dostosowany do najróżniejszych potrzeb. Możecie wybrać certyfikat SSL dla jednej nazwy domeny, Wildcard, MultiDomain i MultiDomain Wildcard dla domen i ich subdomen, a także certyfikaty o różnym typie walidacji — DV, OV i EV.
Proces dotyczący zamawiania certyfikatów SSL znajdziecie w naszym poradniku.
Natomiast opisany proces instalacji certyfikatu SSL znajdziecie tutaj.
- Drugim sposobem uzyskania certyfikatu SSL dla domeny jest skorzystanie z serwera z funkcją AutoSSL. W linii hostingu BIZNES będą to serwery: PRO i VIP, a w linii ULTRA wszystkie warianty. Jest to zdecydowanie najprostszy, najwygodniejszy i najszybszy sposób uzyskania certyfikatu SSL dla Waszych domen. Certyfikaty SSL pochodzą od renomowanego wystawcy Sectigo, a ich potężna zaleta polega na tym, że instalują się samoczynnie dla każdej posiadanej domeny!
Chcecie skorzystać usługi AutoSSL i bezpłatnie przejść na wyższy wariant serwera? Napisz do nas na info@mserwis.pl.
Podsumowanie
Wymieniliśmy różne mechanizmy zabezpieczenia poczty, które stosujemy w ramach hostingu w MSERWIS.pl oraz wskazaliśmy narzędzia, z których możecie korzystać jako nasi klienci.
Jesteście zainteresowani, w jaki jeszcze sposób chronimy Wasze dane?
Przeczytajcie nasz artykuł dotyczący utrzymania bezpieczeństwa w MSERWIS.pl.
Od kilku lat jestem odpowiedzialny za interakcję z klientami oraz odpowiadam na ich pytania, wątpliwości i problemy związane z usługami hostingowymi i domenowymi oferowanymi przez MSERWIS.pl i Domeny.tv.
Mam wysokie umiejętności komunikacyjne, zarówno werbalne, jak i pisemne, oraz potrafię skutecznie zrozumieć potrzeby klienta. Znajduję kreatywne rozwiązania problemów technicznych, udzielam pomocy w zarządzaniu kontem, a przy tym wykazuję dużą dbałość o szczegóły i zdolność do wielozadaniowości.
Komentarze
2 odpowiedzi na “Wprowadzamy wymóg logowania do usług pocztowych przy użyciu protokołu SSL”