Для чего необходим TLS/SSL сертификат при рассылке писем, влияет ли он на доставляемость писем?

Question

[Максим]

У меня несколько вопросов, на которые ищу ответ.

1. Для чего необходим TLS/SSL сертификат при рассылке писем?

2. Письмо подписывается SSL сертификатом только при рассылке методом SMTP или же при всех видах (mail, sendmail, smtp) ?

3. Влияет ли он на доставляемость писем?

4. Стоит Exim, пользуюсь PHP mailer(последняя версия). Необходимо ли дополнительно указывать на сертификат в настройках PHP mailer, или же он подгружается из настроек exim?

Answer 1

[CityCat4]

Для чего необходим TLS/SSL сертификат при рассылке писем?

Для шифрования транспортного уровня между отправляющим сервером и принимающим. В процессе обмена "товарищ майор" не сможет прочитать содержимое письма (но метаданные - от кого, кому, тему и прочее - сможет)

Письмо подписывается SSL сертификатом только при рассылке методом SMTP или же при всех видах (mail, sendmail, smtp) ?

Не путайтесь. Письмо подписывается сертификатом, если таковое указано в настройках почтового клиента - Outlook, TB. Это требует выпуска персональных сертификатов и отдельной настройки. Использование сертификата на транспортном уровне ничего не подписывает. Оно шифрует.
JFYI: Нет рассылки методом SMTP. Есть протокол SMTP, который используется при отправке писем. Нет "какого либо еще метода". Sendmail - SMTP-сервер, а mail - вообще консольный почтовый клиент :)

3. Влияет ли он на доставляемость писем?

Нет

Comments

[Максим]

Подскажите пожалуйста, в чём тогда различия между методами:

https://github.com/PHPMailer/PHPMailer/blob/master... (документация по php mailer)

180-185 строка: можно выбрать: mail/sendmail/smtp.

"Письмо подписывается сертификатом, если таковое указано в настройках почтового клиента" - где можно почитать о том, как это сделать?

[CityCat4]

где можно почитать о том, как это сделать?

В статьях по настройкам Outlook и Thunderbird. Это не потоковая настройка, а юзерская. Админ настраивает использование сертфииката и ставит его. Юзер создает новое письмо и при отправке клиент подписывает его сертификатом. Подпись гарантирует его неизменность (то, что в текст не внесли изменений), но не гарантирует что не прочитают.

По методам (это исключительно мои предположения) - mail - отправка через консольную программу mail, sendmail - отправка через локальную же программу sendmail (больше фич по формированию заголовка, но сложнее использовать), SMTP- отправка через удаленный (не локальный) сервер SMTP

[Максим]

CityCat4, Ещё вопрос. Используется ли сертификат на транспортном уровне при рассылке через php mailer? стоит Exim?

[CityCat4]

Максим, настроите exim - будет использоваться. Не настроите - не будет.

[Максим]

CityCat4, Хорошо, я понял. А как можно проверить, используется ли сертификат? Только что протестировал, письма уходят как с ним, там и без

[CityCat4]

Максим, В логах обычно пишут. Не знаю, как в exim, а в sendmail это выглядит так:

Jun  1 03:51:44 ххх sm-mta[21145]: STARTTLS=client, relay=[10.хх.хх.хх], version=TLSv1.2, verify=FAIL, cipher=DHE-RSA-AES256-GCM-SHA384, bits=256/256

Answer 2

[Владимир Дубровин]

Письмо не подписывается сертификатом, сертификат используется для установки защищенного соединения между почтовыми серверами (STARTTLS). Напрямую, наличие или отсутствие STARTTLS на доставку не влияет, но GMail, например, может показывать пользователям значок если письмо получено через незащищенное соединение. В настройках мейлера ничего указывать не надо, т.к. используется сертификат именно между MTA (exim в вашем случае).

Comments

[Максим]

Т.е. по факту получается, что сертификат в случае отправки через php mailer определяют строки в exim.conf?

# TLS/SSL
tls_advertise_hosts = *
tls_certificate = ${if exists{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/${tls_sni}.crt}{/etc/exim/ssl/exim.crt}}
tls_privatekey = ${if exists{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/${tls_sni}.key}{/etc/exim/ssl/exim.key}}
daemon_smtp_ports = 25 : 465 : 587
tls_on_connect_ports = 465

[Владимир Дубровин]

Да, это сертификат и приватный ключ.

[Владимир Дубровин]

P.S. вообще сертификат с вашей стороны нужен для получения почты. Для отправки почты он не используется.

Answer 3

[Денис]

Пункт 3. На доставляемость не попадание в спам влияют наличие DKIM, SPF и приличный PTR