Από την πλευρά σας, θα πρέπει να διασφαλίσετε ότι οι εφαρμογές, οι mail clients και τα λειτουργικά που χρησιμοποιείτε να είναι συμβατά με τις εκδόσεις TLSv1.2 & TLSv1.3
Στα πλαίσια αναβάθμισης και ενίσχυσης της προστασίας πληροφοριών που μεταφέρονται σε ένα δίκτυο κατά την επικοινωνία με τους mail servers της υποδομής μας, στοχεύουμαι στο να χρησιμοποιούνται από όλους κρυπτογραφημένες (encrypted) μέθοδοι. Ο λόγος είναι γιατί θέλουμε να διασφαλίσουμε την πιστοποίηση του χρήστη, την ακεραιότητα των δεδομένων και ότι δεν θα τα υποκλέψει κάποιος άλλος τα δεδομένα που μεταφέρονται.
Για να επιτευχθεί αυτό, στην υποδομή μας έχουμε εφαρμόσει και υποστηρίζουμε όλες τις σύγχρονες μεθόδους κρυπτογράφησης που διασφαλίζουν την ασφαλή επικοινωνία μεταξύ του email server και των email clients/εφαρμογών που χρησιμοποιείτε.
Από την πλευρά σας, θα πρέπει να διασφαλίσετε ότι οι εφαρμογές, οι mail clients και τα λειτουργικά που χρησιμοποιείτε να είναι συμβατά με τις εκδόσεις TLSv1.2 & TLSv1.3. Θα πρέπει δηλαδή, να εγκαταλείψετε τα παλιά πρωτόκολλα επικοινωνίας TLSv1.0 & TLSv1.1, τα οποία κρίνονται πλέον μη ασφαλή (αυτά προέρχονται κυρίως από παλιά λειτουργικά συστήματα και παλιές συσκευές) και να τα αναβαθμίσετε σε νέα .
Επίσης, εκτός από τους τους email clients που χρησιμοποιείτε, θα πρέπει να αναβαθμίσετε και όλες τις εφαρμογές, αλλά και τα plugins της ιστοσελίδας σας που επικοινωνούν με τo mail server (όπως φόρμες επικοινωνίας, SMTP WordPress Authentication κλπ.).
Αναφορικά με τους email clients, παρακάτω σας αναφέρουμε τις ρυθμίσεις που θα πρέπει να ορίσετε στα πρωτόκολλα επικοινωνίας IMAP, POP3 & SMTP.
Για να είναι ασφαλής και κρυπτογραφημένη η επικοινωνία μεταξύ των χρηστών και του mail server, θα πρέπει, εφόσον βεβαιωθείτε ότι οι εφαρμογές σας και το λειτουργικό σύστημα που χρησιμοποιείτε είναι συμβατά με την έκδοση TLS v1.2 και πάνω, να γίνεται χρήση ασφαλών θυρών και χρήση SSL/TLS πρωτοκόλλου επικοινωνίας.
Επομένως, σας συστήνουμε να χρησιμοποιείτε:
IMAP
Ασφαλής θύρα: 993, με χρήση SSL/TLS (προτεινόμενο)
POP3
Ασφαλής θύρα: 995, με χρήση SSL/TLS (προτεινόμενο)
SMTP
Ασφαλής θύρα: 465, με χρήση SSL/TLS (προτεινόμενο)
Ασφαλής θύρα: 587, με χρήση STARTTLS (προτεινόμενο)
ΣΗΜΕΙΩΣΗ: Σε περίπτωση που για κάποιο λόγο δεν μπορεί να χρησιμοποιηθεί κάποια ασφαλής θύρα από αυτές που προτείνονται παραπάνω (π.χ. λόγω ύπαρξης firewall), τότε ως εναλλακτική λύση μπορείτε να χρησιμοποιήσετε τις default θύρες 143, 110 & 25 κάνοντας χρήση STARTTLS. Με αυτό τον τρόπο αναβαθμίζεται η σύνδεση από μη ασφαλή σε ασφαλή, εάν αυτό υποστηρίζεται από τον client και το server. Απαραίτητη προϋπόθεση, όπως αναφέραμε και παραπάνω είναι οι εφαρμογές και τα λειτουργικά σας να υποστηρίζουν TLS v1.2 και πάνω.
IMAP: Μη ασφαλής θύρα: 143, με χρήση STARTTLS
POP3: Μη ασφαλής θύρα: 110, με χρήση STARTTLS
SMTP: Μη ασφαλής θύρα: 25, με χρήση STARTTLS
ΠΡΟΣΟΧΗ!
Στα πλαίσια αλλαγών για τη διασφάλιση προστασίας δεδομένων στη mail υπηρεσία, από εδώ και στο εξής στην υποδομή μας το unencrypted login καταργείται και θα είναι αποδεκτό μόνο το encrypted password. Για να το αλλάξετε αυτό στους mail clients, θα πρέπει στις ρυθμίσεις του εκάστοτε email λογαριασμού, να ορίσετε τη μέθοδο πιστοποίησης ή αλλιώς authentication method σε “Encrypted password“.
Δηλαδή, εάν χρησιμοποιήσετε τις default θυρες (143, 110 & 25) και κάνετε χρήση STARTTLS τότε θα πρέπει απαραίτητα στο Authentication method να επιλέξετε “Encrypted password” ώστε, όταν για κάποιο λόγο δεν γίνει encrypted η επικοινωνία, το password να είναι κρυπτογραφημένο για να μην φαίνεται σαν απλό κείμενο (plain text).
Παρακάτω μπορείτε να δείτε σχετικό παράδειγμα ρύθμισης email λογαριασμού στο Thunderbird, όπου γίνεται χρήση μη ασφαλών θυρών 143 (για IMAP) και 25 (για SMTP), STARTTLS και για λόγους ασφαλείας ως Authentication method θα πρέπει να ορίσουμε Encrypted password.
Σε καμία περίπτωση δεν πρέπει στο Authentication να επιλέξετε “Normal Password” ή κάποια άλλη επιλογή εκτός από “Encrypted password”, καθώς με αυτό τον τρόπο το password δεν κρυπογραφείται και μεταφέρεται ως απλό κείμενο. Για την πρόληψη αυτού του ενδεχόμενου, όπως αναφέραμε και παραπάνω, πλέον οι υπόλοιπες μέθοδοι πιστοποίησης δεν είναι αποδεκτές από την υποδομή μας.