חברות אחסון אתרים, בוני אתרים ו"סתם" משתמשים רנדומלים בשירותי הדואר של GMail התעוררו הבוקר (לפני מספר ימים למעשה) עם הודעה חדשה המוצגת בדואר המתקבל אצלם בתיבת ה-GMAIL שלהם.
מקור השגיאה
השגיאה נגרמת מכיוון ש-GMAIL מנסים "לכפות" על העולם לבצע שליחה בטוחה יותר.
במידה ולא הכרתם: דואר (SMTP) הוא פרוטוקול טקסטואלי לחלוטין- כלומר, במידה ויש וירוס ברשת בה אתם עובדים (לדוגמא, בתי קפה) והוירוס הוא בעל יכולת לקרוא את תעבורת הרשת – מכיוון שתעבורת הדואר (SMTP) איננה מוצפנת (כלומר, מופיעה כטקסט קריא לחלוטין) ניתן לקרוא למעשה את כל הדואר שלכם.
Google מקדמת בשנים האחרונות מעבר ל"רשת מוצפנת", כלומר- Google דוחפת את ספקי התשתית השונים (בין אם בתי התוכנה הכותבים את הדפדפנים שלנו, חברות האחסון או בעלי האתרים) לעבור מפרוטוקולים טקסטואלים (כמו HTTP, SMPT וכו') לפרוטוקולים מאובטחים (HTTPS, SMTPS וכו').
סימן ראשון לכך היה ניתן לראות ב"העדפה" שפרסמה גוגל לאתרים ב-HTTPS בכל הנוגע לדרוג (ניתן לקרוא על כך עוד בבלוג קידום האתרים המומלץ של עידן בן אור).
וחזרה אלינו: גוגל החליטה להמשיך בקידום הנושא והפעם בגזרת הדואר.
השינוי שגוגל ביצעה (ולכן מוצגת האזהרה) הוא שמעתה היא בודקת האם שרת הדואר שהעביר אליה את המייל, שלח אליה את המייל בצורה מוצפנת (כלומר, TLS) או בצורה שאינה מוצפנה (Clear Text).
מצד אחד ניתן לומר כי מדובר ביוזמה מבורכת, Google "דוחפת" את הרשת לכיוון המוצפן.
מצד שני, ניתן לראות בעייתיות מה מכיוון שגוגל "לא טורחת" להסביר כי המצב בו ההודעה נשלחה בפרוטוקול לא מוצפן זהו המצב בו עבדה הרשת עד היום (למעשה, 20+ שנה),
כך שגם אם לטווח הרחוק מדובר בפעולה לא תקינה – אין צורך להכנס לפאניקה.
כיצד לתקן
תיקון ה"תקלה" צריך להעשות בצד של חברת האחסון (או של שרת הדואר שלכם, אם אתם מפעילים אותם באופן עצמאי).
התיקון פשוט יחסית וקל להרצה.
עבור שרתי PostFix, יש להוסיף את השורה הבאה לקונפיגורציה ולאתחל את השירות:
smtp_tls_security_level=may
עבור שרתי Exim, הצורה הפשוטה ביותר היא פשוט לעדכן את גרסת התוכנה לגרסה העדכנית (כיום, 4.85).
מדובר בפעולה שמומלצת לביצוע ע"י איש מקצוע מנוסה, כל נסיון לבצע זאת באופן עצמאי הוא אפשרי – אך כורח בחובו סיכון של קריסת שרת הדואר.
במילים אחרות- פנו לחברת האחסון שלכם ובקשו ממנה לבצע את המשימה.
לקוחות RAID ו-SPD יקבלו את העדכון באופן אוטומטי במהלך היום כך שניתן פשוט להמתין לביצוע.
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
- PHPMailer Exploit - דצמבר 28, 2016
השאר תגובה