Время на прочтение
2 мин
Количество просмотров 23K
С недавних пор Gmail начал предупреждать что сервер отправителя дословно Домен example.com не зашифровал это сообщение и при просмотре письма отображать открытый замочек (Подробнее в справке google). Сама формулировка в справочном центре долгое время меня вводила в заблуждение: Если в полученном сообщении или черновике появился красный значок взломанного значка , это означает, что письмо не зашифровано.. Означает это всего навсего что письмо было передано не по зашифрованному протоколу, никакого отношения к шифрованию письма этот замочек не имеет. Долгое время эта формулировка сбивала меня с толку и «гуглил» я в неверном направлении пока более опытный товарищ не подсказал.
Т. к. после того как я разобрался в сути предупреждения ничего по теме все равно не нашел, поэтому пост скорее для разъяснений таким-же как я, кто сначала ничего не понял. Поэтому прошу не судить строго.
Теперь по делу, для выполнения рекомендаций google и безопасной отправке писем, тем кто использует postfix в качестве сервера исходящей почты достаточно добавить в /etc/postfix/main.cf (путь указан для debian):
smtp_use_tls = yes
tls_high_cipherlist = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # эта строчка скорее всего будет в конфиге
Спасибо J_o_k_e_R за подсказку по алгоритмам в комментариях
В итоге при просмотре исходника письма заголовок такой:
Received: from smtp.279.ru (smtp.279.ru. [77.220.185.16])
by mx.google.com with ESMTP id o79si14839747lfi.52.2016.02.15.04.15.43
for <deryabinsergey@gmail.com>;
Mon, 15 Feb 2016 04:15:43 -0800 (PST)
становится вот таким:
Received: from smtp.279.ru (smtp.279.ru. [77.220.185.16])
by mx.google.com with ESMTPS id d124si14810044lfg.170.2016.02.15.04.20.45
for <deryabinsergey@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 15 Feb 2016 04:20:45 -0800 (PST)
Еще раз прошу не судить строго, если я один «такой дурак» оказался
Продолжаем настраивать postfix и работу почты в целом. В web интерфейсе Gmail столкнулся с отображением перечеркнутого замка и надписью «домен domain.com не зашифровал это сообщение».
На самом деле к шифрованию это не имеет никакого отношения. Речь о передаче письма по не зашифрованному протоколу. Решается это так.
В конфиг postfix нужно добавить (или скорректировать) следующие строки:
|
nano /etc/postfix/main.cf |
|
# TLS #smtp_tls_loglevel = 2 smtp_use_tls = yes smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 tls_high_cipherlist = ECDHE–RSA–AES128–GCM–SHA256:ECDHE–ECDSA–AES128–GCM–SHA256:ECDHE–RSA–AES256–GCM–SHA384:ECDHE–ECDSA–AES256–GCM–SHA384:DHE–RSA–AES128–GCM–SHA256:DHE–DSS–AES128–GCM–SHA256:kEDH+AESGCM:ECDHE–RSA–AES128–SHA256:ECDHE–ECDSA–AES128–SHA256:ECDHE–RSA–AES128–SHA:ECDHE–ECDSA–AES128–SHA:ECDHE–RSA–AES256–SHA384:ECDHE–ECDSA–AES256–SHA384:ECDHE–RSA–AES256–SHA:ECDHE–ECDSA–AES256–SHA:DHE–RSA–AES128–SHA256:DHE–RSA–AES128–SHA:DHE–DSS–AES128–SHA256:DHE–RSA–AES256–SHA256:DHE–DSS–AES256–SHA:DHE–RSA–AES256–SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK #smtpd_tls_loglevel = 2 smtpd_use_tls = yes smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 |
На период отладки я убирал символ комментария перед директивами tls_loglevel и наблюдал что происходит в логах postfix. Список используемых алгоритмов собран на основе рекомендаций mozilla — Security/Server Side TLS — MozillaWiki
Перечитываем конфиг и проверяем.
До этих настроек в исходном заголовке письма наблюдали следующую картину:
После применения настроек должно выглядеть уже вот так:
И Gmail больше не показывает перечеркнутый замок.
Gmail — предупреждение о шифровании +11
Информационная безопасность
Рекомендация: подборка платных и бесплатных курсов Python – https://katalog-kursov.ru/
С недавних пор Gmail начал предупреждать что сервер отправителя дословно Домен example.com не зашифровал это сообщение и при просмотре письма отображать открытый замочек (Подробнее в справке google). Сама формулировка в справочном центре долгое время меня вводила в заблуждение: Если в полученном сообщении или черновике появился красный значок взломанного значка ?, это означает, что письмо не зашифровано.. Означает это всего навсего что письмо было передано не по зашифрованному протоколу, никакого отношения к шифрованию письма этот замочек не имеет. Долгое время эта формулировка сбивала меня с толку и «гуглил» я в неверном направлении пока более опытный товарищ не подсказал.
Т. к. после того как я разобрался в сути предупреждения ничего по теме все равно не нашел, поэтому пост скорее для разъяснений таким-же как я, кто сначала ничего не понял. Поэтому прошу не судить строго.
Теперь по делу, для выполнения рекомендаций google и безопасной отправке писем, тем кто использует postfix в качестве сервера исходящей почты достаточно добавить в /etc/postfix/main.cf (путь указан для debian):
smtp_use_tls = yes
tls_high_cipherlist = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # эта строчка скорее всего будет в конфиге
Спасибо J_o_k_e_R за подсказку по алгоритмам в комментариях
В итоге при просмотре исходника письма заголовок такой:
Received: from smtp.279.ru (smtp.279.ru. [77.220.185.16])
by mx.google.com with ESMTP id o79si14839747lfi.52.2016.02.15.04.15.43
for <deryabinsergey@gmail.com>;
Mon, 15 Feb 2016 04:15:43 -0800 (PST)
становится вот таким:
Received: from smtp.279.ru (smtp.279.ru. [77.220.185.16])
by mx.google.com with ESMTPS id d124si14810044lfg.170.2016.02.15.04.20.45
for <deryabinsergey@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 15 Feb 2016 04:20:45 -0800 (PST)
Еще раз прошу не судить строго, если я один «такой дурак» оказался
When I send messages from my server using SMTP Gmail always gets a message with little red lock (left near the senders email) with a message “The domain not encrypted this message”.
I send emails via Outlook 2016, using SMTP authentication. pop using SSl 995, smtp using TLS 587. Everything works fine, i can send and receive messages, but Gmail warns that server still not encrypts messages, but the messages are encrypted via TLS.
What can be wrong ?
Quentin
904k122 gold badges1199 silver badges1325 bronze badges
asked Oct 1, 2016 at 14:18
Load 7 more related questions
Show fewer related questions
С недавних пор Gmail начал предупреждать что сервер отправителя дословно Домен example.com не зашифровал это сообщение и при просмотре письма отображать открытый замочек (Подробнее в справке google). Сама формулировка в справочном центре долгое время меня вводила в заблуждение: Если в полученном сообщении или черновике появился красный значок взломанного значка , это означает, что письмо не зашифровано.. Означает это всего навсего что письмо было передано не по зашифрованному протоколу, никакого отношения к шифрованию письма этот замочек не имеет. Долгое время эта формулировка сбивала меня с толку и «гуглил» я в неверном направлении пока более опытный товарищ не подсказал.
Т. к. после того как я разобрался в сути предупреждения ничего по теме все равно не нашел, поэтому пост скорее для разъяснений таким-же как я, кто сначала ничего не понял. Поэтому прошу не судить строго.
Теперь по делу, для убирания предупреждения, тем кто использует postfix для отправки писем достаточно добавить в /etc/postfix/main.cf (путь указан для debian):
smtp_use_tls = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # эта строчка скорее всего будет
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
В итоге при просмотре исходника письма заголовок такой:
Received: from smtp.279.ru (smtp.279.ru. [77.220.185.16])
by mx.google.com with ESMTP id o79si14839747lfi.52.2016.02.15.04.15.43
for <deryabinsergey@gmail.com>;
Mon, 15 Feb 2016 04:15:43 -0800 (PST)
становится вот таким:
Received: from smtp.279.ru (smtp.279.ru. [77.220.185.16])
by mx.google.com with ESMTPS id d124si14810044lfg.170.2016.02.15.04.20.45
for <deryabinsergey@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 15 Feb 2016 04:20:45 -0800 (PST)
Еще раз прошу не судить строго, если я один «такой дурак» оказался
Автор: SergeyDeryabin
Источник
