Transport Layer Security(TLS)証明書を使用すると、組織内のユーザーが安全にメールを送受信できるようデータを暗号化することができます。
TLS 証明書にアクセスする方法
送受信用 TLS 証明書にアクセスするには、次の 2 通りの方法があります。
- 以下のコマンドを実行する。
openssl s_client -starttls smtp -connect [ホスト名]:25 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' - 以下の Python スニペットを使用する。
import smtplib
import ssl
connection = smtplib.SMTP()
connection.connect('[ホスト名].')
connection.starttls()
print(ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True)))
[ホスト名] の部分は、次のように適切な値に置き換えます。
- 受信 SMTP -
aspmx.l.google.com - 送信(SMTP リレー)-
smtp-relay.gmail.com - 送信(MSA)-
smtp.gmail.com
TLS 証明書へのその他のアクセス方法を探す
証明書にアクセスするその他の方法を調べるには、TLS サーバーから証明書を取得する方法をウェブで検索します。
TLS 証明書に関するガイドライン:
- 証明書は GlobalSign R2 CA(GS Root R2)という中間認証局によって署名されています。
- 少なくとも、https://pki.goog/roots.pem に記載されている証明書を信頼する必要があります。
- 証明書は複数のホストで共有されます。
- 取得した証明書のセットにはすべて有効期限があります。証明書は、この有効期限までに新しい証明書に切り替わります。新しい証明書を導入する際には、どちらの証明書も接続に使用できます。
-
Gmail のクライアントとサーバーの間でやりとりされるメッセージは、128 ビットの HTTPS 接続で TLS 1.2 を使用して暗号化されます。この接続の暗号化と認証には AES_128_GCM が使用され、鍵交換方式は ECDHE_RSA です。
-
Gmail と Gmail 以外のクライアント / サーバー間のやりとりは、TLS 1.2 経由の SSL3 を使用してサポートされ、メール クライアントが暗号化方式、鍵交換方式、ビット長をリストから選択します。
-
サポートされるビット長は、DES が 112/168 ビット、RC4 が 128 ビット、AES(Advanced Encryption Standard)が 128 ビットまたは 256 ビットです。
