[HSC MailInspecrtor] - TLS no MailInspector
Este HowTo tem a finalidade a explanação de funcionamento de TLS no MailInspector e a importância dele para o email, bem como a recomendação da HSCBRASIL para o uso dele.
Importância do TLS no Email
Por padrão o SMTP envia email como texto plano, dessa forma se o email for interceptado por alguém, o mesmo pode ser visualizado em sua totalidade. Para evitar isso, foi criado o TLS, ao qual faz um túnel VPN (criptografado) entre os dois servidores de email (origem e destino) e é através desse túnel que o email passa a ser enviado. Dessa forma se o email for interceptado, a sua leitura não será possível, pois o email encontra-se criptografado.
A chave de criptografia (tipo de criptografia e tamanho), bem como a versão do TLS utilizada influencia no nível de proteção.
Atualmente o mais indicado á o uso da versão TLS 1.2, pois as outras versões apresentam falhas de segurança.
Ativando o TLS
Acesse o MailInspector com o perfil de administrador
Vá em:
Configurações > Controle de Conexão > TLS/SSLSelecione:
Habilitar TLS: Sim
Modo de Operação: TLS 1.2 ou Superior Hardened
Diferenças entre os Modos de Operação:
· Modo de Compatibilidade – Utiliza todos as versões de TLS, deixando o MailInspector compatível a todas as versões, mas pode causar timeout, pois ele sempre tentará utilizar a versão mais recente e somente depois de timeout dessa tentativa é que ele passará a tentar na versão anteriores, dessa forma dependendo do servidor de envio/recebimento do email, pode ocasionar timeout de conexão.· TLS 1.2 ou Superior – Utiliza a versão TLS 1.2, se o outro servidor de envio/recebimento de email tiver essa versão funcional e ativa, é compatível com várias cifras de TLS versão 1.2
· TLS 1.2 ou superior Hardened – Obriga o uso do TLS 1.2 somente com certas cifras (ECDHE-RSA-AES256-GCM-SHA384 ou DHE-RSA-AES256-GCM-SHA384). Caso o servidor de recebimento/envio de email não tenha uma dessas cifras, a conexão é cancelada.
Certificado: Gerado Automaticamente (não há necessidade de usar um certificado adquirido), mas caso você queira usar um certificado adquirido, é possível selecionando a opção Personalizado no lugar do Gerado Automaticamente.Entrada de Emails
Nível de Segurança: Permissivo
Ativar TLS/SSL para Relay Autenticado: Não
Saída de Emails
Nível de Segurança: Permissivo
Para maiores informações sobre outros campos do protocolo TLS no MailInspector, favor consultar o manual.
Tome muito cuidado se optar por usar Modo de Compatibildiade no TLS, pois pode causar timeout, pois ele sempre tentará utilizar a versão mais recente e somente depois de timeout dessa tentativa é que ele passará a tentar na versão anteriores, dessa forma dependendo do servidor de envio/recebimento do email, pode ocasionar timeout de conexão.
Portanto, ele sempre utilizará a seguinte sequência para TimeOut de cada cifra:
Todas as cifras de TLS 1.2 ou Superior Hardened;
Todas as cifras de TLS 1.2 ou Superior;
Todas as cifras de TLS 1.2 em Modo Compatibilidade;
Todas as cifras de TLS 1.1 em Modo Compatibilidade;
Todas as cifras de TLS 1.0 em Modo Compatibilidade;
Portanto, para evitar problema de TimeOut de conexão e possíveis falhas de segurança por versão de TLS, o recomendado pela HSCBRASIL é usar TLS 1.2 ou Superior Hardened
Cifras utilizadas pelo TLS
TLS v1.0 | Cifra | Order | Strengh | |
Modo Compatibilidade | xc014 | ECDHE-RSA-AES256-SHA | ECDH 256 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
x39 | DHE-RSA-AES256-SHA | DH 1024 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | |
x88 | DHE-RSA-CAMELLIA256-SHA | DH 1024 | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA | |
xc019 | AECDH-AES256-SHA | ECDH 256 | TLS_ECDH_anon_WITH_AES_256_CBC_SHA | |
x3a | ADH-AES256-SHA | DH 1024 | TLS_DH_anon_WITH_AES_256_CBC_SHA | |
x89 | ADH-CAMELLIA256-SHA | DH 1024 | TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA | |
x35 | AES256-SHA | RSA |
| |
x84 | CAMELLIA256-SHA | RSA |
| |
xc013 | ECDHE-RSA-AES128-SHA | ECDH | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
x33 | DHE-RSA-AES128-SHA | DH | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | |
x9a | DHE-RSA-SEED-SHA | DH | TLS_DHE_RSA_WITH_SEED_CBC_SHA | |
x45 | DHE-RSA-CAMELLIA128-SHA | DH | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA | |
xc018 | AECDH-AES128-SHA | ECDH | TLS_ECDH_anon_WITH_AES_128_CBC_SHA | |
x34 | ADH-AES128-SHA | DH | TLS_DH_anon_WITH_AES_128_CBC_SHA | |
x9b | ADH-SEED-SHA | DH | TLS_DH_anon_WITH_SEED_CBC_SHA | |
x46 | ADH-CAMELLIA128-SHA | DH | TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA | |
x2f | AES128-SHA | RSA |
| |
x96 | SEED-SHA | RSA |
| |
x41 | CAMELLIA128-SHA | RSA |
| |
x07 | IDEA-CBC-SHA | RSA |
| |
xc011 | ECDHE-RSA-RC4-SHA | ECDH | TLS_ECDHE_RSA_WITH_RC4_128_SHA | |
xc016 | AECDH-RC4-SHA | ECDH | TLS_ECDH_anon_WITH_RC4_128_SHA | |
x18 | ADH-RC4-MD5 | DH | TLS_DH_anon_WITH_RC4_128_MD5 | |
x05 | RC4-SHA | RSA |
| |
x04 | RC4-MD5 | RSA |
| |
xc012 | ECDHE-RSA-DES-CBC3-SHA | ECDH | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | |
x16 | EDH-RSA-DES-CBC3-SHA | DH | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | |
xc017 | AECDH-DES-CBC3-SHA | ECDH | TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA | |
x1b | ADH-DES-CBC3-SHA | DH | TLS_DH_anon_WITH_3DES_EDE_CBC_SHA | |
x0a | DES-CBC3-SHA | RSA |
| |
TLS v1.1 | Cifra | Order | Strengh | |
Modo Compatibilidade | xc014 | ECDHE-RSA-AES256-SHA | ECDH | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
x39 | DHE-RSA-AES256-SHA | DH | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | |
x88 | DHE-RSA-CAMELLIA256-SHA | DH | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA | |
xc019 | AECDH-AES256-SHA | ECDH | TLS_ECDH_anon_WITH_AES_256_CBC_SHA | |
x3a | ADH-AES256-SHA | DH | TLS_DH_anon_WITH_AES_256_CBC_SHA | |
x89 | ADH-CAMELLIA256-SHA | DH | TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA | |
x35 | AES256-SHA | RSA |
| |
x84 | CAMELLIA256-SHA | RSA |
| |
xc013 | ECDHE-RSA-AES128-SHA | ECDH | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
x33 | DHE-RSA-AES128-SHA | DH | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | |
x9a | DHE-RSA-SEED-SHA | DH | TLS_DHE_RSA_WITH_SEED_CBC_SHA | |
x45 | DHE-RSA-CAMELLIA128-SHA | DH | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA | |
xc018 | AECDH-AES128-SHA | ECDH | TLS_ECDH_anon_WITH_AES_128_CBC_SHA | |
x34 | ADH-AES128-SHA | DH | TLS_DH_anon_WITH_AES_128_CBC_SHA | |
x9b | ADH-SEED-SHA | DH | TLS_DH_anon_WITH_SEED_CBC_SHA | |
x46 | ADH-CAMELLIA128-SHA | DH | TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA | |
x2f | AES128-SHA | RSA |
| |
x96 | SEED-SHA | RSA |
| |
x41 | CAMELLIA128-SHA | RSA |
| |
x07 | IDEA-CBC-SHA | RSA |
| |
xc011 | ECDHE-RSA-RC4-SHA | ECDH | TLS_ECDHE_RSA_WITH_RC4_128_SHA | |
xc016 | AECDH-RC4-SHA | ECDH | TLS_ECDH_anon_WITH_RC4_128_SHA | |
x18 | ADH-RC4-MD5 | DH | TLS_DH_anon_WITH_RC4_128_MD5 | |
x05 | RC4-SHA | RSA |
| |
x04 | RC4-MD5 | RSA |
| |
xc012 | ECDHE-RSA-DES-CBC3-SHA | ECDH | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | |
x16 | EDH-RSA-DES-CBC3-SHA | DH | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | |
xc017 | AECDH-DES-CBC3-SHA | ECDH | TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA | |
x1b | ADH-DES-CBC3-SHA | DH | TLS_DH_anon_WITH_3DES_EDE_CBC_SHA | |
x0a | DES-CBC3-SHA | RSA | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | |
TLS v1.2 | Cifra | Order | Strengh | |
Modo Compatibilidade | xc030 | ECDHE-RSA-AES256-GCM-SHA384 | ECDH | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
xc028 | ECDHE-RSA-AES256-SHA384 | ECDH | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | |
xc014 | ECDHE-RSA-AES256-SHA | ECDH | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | |
x9f | DHE-RSA-AES256-GCM-SHA384 | DH | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | |
x6b | DHE-RSA-AES256-SHA256 | DH | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | |
x39 | DHE-RSA-AES256-SHA | DH | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | |
x88 | DHE-RSA-CAMELLIA256-SHA | DH | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA | |
xc019 | AECDH-AES256-SHA | ECDH | TLS_ECDH_anon_WITH_AES_256_CBC_SHA | |
xa7 | ADH-AES256-GCM-SHA384 | DH | TLS_DH_anon_WITH_AES_256_GCM_SHA384 | |
x6d | ADH-AES256-SHA256 | DH | TLS_DH_anon_WITH_AES_256_CBC_SHA256 | |
x3a | ADH-AES256-SHA | DH | TLS_DH_anon_WITH_AES_256_CBC_SHA | |
x89 | ADH-CAMELLIA256-SHA | DH | TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA | |
x9d | AES256-GCM-SHA384 | RSA |
| |
x3d | AES256-SHA256 | RSA |
| |
x35 | AES256-SHA | RSA |
| |
x84 | CAMELLIA256-SHA | RSA |
| |
xc02f | ECDHE-RSA-AES128-GCM-SHA256 | ECDH | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
xc027 | ECDHE-RSA-AES128-SHA256 | ECDH | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | |
xc013 | ECDHE-RSA-AES128-SHA | ECDH | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
x9e | DHE-RSA-AES128-GCM-SHA256 | DH | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | |
x67 | DHE-RSA-AES128-SHA256 | DH | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | |
x33 | DHE-RSA-AES128-SHA | DH | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | |
x9a | DHE-RSA-SEED-SHA | DH | TLS_DHE_RSA_WITH_SEED_CBC_SHA | |
x45 | DHE-RSA-CAMELLIA128-SHA | DH | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA | |
xc018 | AECDH-AES128-SHA | ECDH | TLS_ECDH_anon_WITH_AES_128_CBC_SHA | |
xa6 | ADH-AES128-GCM-SHA256 | DH | TLS_DH_anon_WITH_AES_128_GCM_SHA256 | |
x6c | ADH-AES128-SHA256 | DH | TLS_DH_anon_WITH_AES_128_CBC_SHA256 | |
x34 | ADH-AES128-SHA | DH | TLS_DH_anon_WITH_AES_128_CBC_SHA | |
x9b | ADH-SEED-SHA | DH | TLS_DH_anon_WITH_SEED_CBC_SHA | |
x46 | ADH-CAMELLIA128-SHA | DH | TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA | |
x9c | AES128-GCM-SHA256 | RSA |
| |
x3c | AES128-SHA256 | RSA |
| |
x2f | AES128-SHA | RSA |
| |
x96 | SEED-SHA | RSA |
| |
x41 | CAMELLIA128-SHA | RSA |
| |
x07 | IDEA-CBC-SHA | RSA |
| |
xc011 | ECDHE-RSA-RC4-SHA | ECDH | TLS_ECDHE_RSA_WITH_RC4_128_SHA | |
xc016 | AECDH-RC4-SHA | ECDH | TLS_ECDH_anon_WITH_RC4_128_SHA | |
x18 | ADH-RC4-MD5 | DH | TLS_DH_anon_WITH_RC4_128_MD5 | |
x05 | RC4-SHA | RSA |
| |
x04 | RC4-MD5 | RSA |
| |
xc012 | ECDHE-RSA-DES-CBC3-SHA | ECDH | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | |
x16 | EDH-RSA-DES-CBC3-SHA | DH | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | |
xc017 | AECDH-DES-CBC3-SHA | ECDH | TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA | |
x1b | ADH-DES-CBC3-SHA | DH | TLS_DH_anon_WITH_3DES_EDE_CBC_SHA | |
x0a | DES-CBC3-SHA | RSA | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
TLS v1.2 | Cifra | Order | Strengh | |
TLS 1.2 ou Superior | xc030 | ECDHE-RSA-AES256-GCM-SHA384 | ECDH | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
xc028 | ECDHE-RSA-AES256-SHA384 | ECDH | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | |
xc014 | ECDHE-RSA-AES256-SHA | ECDH | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | |
x9f | DHE-RSA-AES256-GCM-SHA384 | DH | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | |
x6b | DHE-RSA-AES256-SHA256 | DH | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 | |
x39 | DHE-RSA-AES256-SHA | DH | TLS_DHE_RSA_WITH_AES_256_CBC_SHA | |
x88 | DHE-RSA-CAMELLIA256-SHA | DH | TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA | |
xc019 | AECDH-AES256-SHA | ECDH | TLS_ECDH_anon_WITH_AES_256_CBC_SHA | |
xa7 | ADH-AES256-GCM-SHA384 | DH | TLS_DH_anon_WITH_AES_256_GCM_SHA384 | |
x6d | ADH-AES256-SHA256 | DH | TLS_DH_anon_WITH_AES_256_CBC_SHA256 | |
x3a | ADH-AES256-SHA | DH | TLS_DH_anon_WITH_AES_256_CBC_SHA | |
x89 | ADH-CAMELLIA256-SHA | DH | TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA | |
x9d | AES256-GCM-SHA384 | RSA |
| |
x3d | AES256-SHA256 | RSA |
| |
x35 | AES256-SHA | RSA |
| |
x84 | CAMELLIA256-SHA | RSA |
| |
xc02f | ECDHE-RSA-AES128-GCM-SHA256 | ECDH | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | |
xc027 | ECDHE-RSA-AES128-SHA256 | ECDH | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | |
xc013 | ECDHE-RSA-AES128-SHA | ECDH | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | |
x9e | DHE-RSA-AES128-GCM-SHA256 | DH | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | |
x67 | DHE-RSA-AES128-SHA256 | DH | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 | |
x33 | DHE-RSA-AES128-SHA | DH | TLS_DHE_RSA_WITH_AES_128_CBC_SHA | |
x9a | DHE-RSA-SEED-SHA | DH | TLS_DHE_RSA_WITH_SEED_CBC_SHA | |
x45 | DHE-RSA-CAMELLIA128-SHA | DH | TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA | |
xc018 | AECDH-AES128-SHA | ECDH | TLS_ECDH_anon_WITH_AES_128_CBC_SHA | |
xa6 | ADH-AES128-GCM-SHA256 | DH | TLS_DH_anon_WITH_AES_128_GCM_SHA256 | |
x6c | ADH-AES128-SHA256 | DH | TLS_DH_anon_WITH_AES_128_CBC_SHA256 | |
x34 | ADH-AES128-SHA | DH | TLS_DH_anon_WITH_AES_128_CBC_SHA | |
x9b | ADH-SEED-SHA | DH | TLS_DH_anon_WITH_SEED_CBC_SHA | |
x46 | ADH-CAMELLIA128-SHA | DH | TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA | |
x9c | AES128-GCM-SHA256 | RSA |
| |
x3c | AES128-SHA256 | RSA |
| |
x2f | AES128-SHA | RSA |
| |
x96 | SEED-SHA | RSA |
| |
x41 | CAMELLIA128-SHA | RSA |
| |
x07 | IDEA-CBC-SHA | RSA |
| |
xc011 | ECDHE-RSA-RC4-SHA | ECDH | TLS_ECDHE_RSA_WITH_RC4_128_SHA | |
xc016 | AECDH-RC4-SHA | ECDH | TLS_ECDH_anon_WITH_RC4_128_SHA | |
x18 | ADH-RC4-MD5 | DH | TLS_DH_anon_WITH_RC4_128_MD5 | |
x05 | RC4-SHA | RSA |
| |
x04 | RC4-MD5 | RSA |
| |
xc012 | ECDHE-RSA-DES-CBC3-SHA | ECDH | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | |
x16 | EDH-RSA-DES-CBC3-SHA | DH | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA | |
xc017 | AECDH-DES-CBC3-SHA | ECDH | TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA | |
x1b | ADH-DES-CBC3-SHA | DH | TLS_DH_anon_WITH_3DES_EDE_CBC_SHA | |
x0a | DES-CBC3-SHA | RSA | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | |
TLS v1.2 | Cifra | Order | Strengh | |
TLS 1.2 ou Superior Hardened | xc030 | ECDHE-RSA-AES256-GCM-SHA384 | ECDH | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
x9f | DHE-RSA-AES256-GCM-SHA384 | DH | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | |