Co to jest TLS i dlaczego jest ważne dla poczty?

TLS (Transport Layer Security) to kryptograficzny protokół sieciowy, który zapewnia bezpieczną komunikację przez internet. W kontekście poczty e-mail TLS szyfruje połączenie między Twoim klientem pocztowym (eM Client) a serwerem poczty, chroniąc treść wiadomości, hasła i inne dane przed przechwyceniem.

Bez szyfrowania TLS wiadomości e-mail przesyłane są jako zwykły tekst — każdy, kto ma dostęp do sieci (np. w publicznej sieci Wi-Fi), mógłby je odczytać. TLS jest dziś standardowym wymogiem bezpieczeństwa dla wszystkich połączeń pocztowych.

W konfiguracji konta pocztowego TLS dostępny jest w dwóch trybach:

• SSL/TLS — szyfrowanie od pierwszego bajtu połączenia (dedykowany port, np. 993 dla IMAP, 465 dla SMTP)
• STARTTLS — połączenie startuje nieszyfrowane, a następnie jest "ulepszane" do szyfrowanego (porty 143/587)

Zalecamy używanie SSL/TLS (nie STARTTLS) dla maksymalnego bezpieczeństwa.

Historia wersji TLS — od 1.0 do 1.3

Protokół TLS ewoluował przez lata, a starsze wersje okazały się podatne na ataki:

• TLS 1.0 (1999) — pierwsza wersja TLS, zastąpienie SSL 3.0. Podatna na ataki BEAST i POODLE. Wycofana przez większość dostawców (Google, Microsoft, Apple) w 2020 roku.
• TLS 1.1 (2006) — częściowo naprawiła problemy TLS 1.0, ale wciąż ma luki. Wycofana razem z TLS 1.0.
• TLS 1.2 (2008) — znaczące ulepszenia bezpieczeństwa. Wciąż szeroko obsługiwana i bezpieczna. Aktualny standard.
• TLS 1.3 (2018) — najnowsza wersja z uproszczonym handshake i lepszym bezpieczeństwem. Stopniowo wdrażana, może powodować problemy na Windows 10 (patrz niżej).

Protokoły RFC 8996 (IETF, 2021) oficjalnie zdeprecjonowały TLS 1.0 i TLS 1.1. Serwery pocztowe dużych dostawców (Gmail, Outlook.com, Yahoo) od 2020 roku nie przyjmują połączeń TLS 1.0/1.1.

Jakie wersje TLS obsługuje eM Client?

eM Client w aktualnych wersjach nie używa TLS 1.0 ani TLS 1.1. Program obsługuje:

• TLS 1.2 — główny protokół używany przez eM Client dla wszystkich połączeń IMAP, SMTP i HTTPS
• TLS 1.3 — obsługiwany w nowszych wersjach eM Client na systemach Windows 11 i macOS

Decyzja o nieobsługiwaniu TLS 1.0/1.1 jest zgodna z najlepszymi praktykami bezpieczeństwa i wymogami większości nowoczesnych serwerów poczty. eM Client deleguje obsługę TLS do systemowych bibliotek szyfrowania (Schannel na Windows, SecureTransport na macOS), co oznacza, że obsługiwane wersje TLS zależą częściowo od wersji systemu operacyjnego.

TLS na różnych systemach operacyjnych

• Windows 11: TLS 1.2 i 1.3 w pełni obsługiwane
• Windows 10: TLS 1.2 w pełni obsługiwane; TLS 1.3 może powodować problemy z OAuth (patrz sekcja o pętli OAuth)
• macOS (Monterey i nowsze): TLS 1.2 i 1.3 obsługiwane
• Starsze systemy (Windows 7, 8): mogą mieć ograniczoną obsługę TLS — aktualizacja systemu zalecana

Jak skonfigurować szyfrowanie TLS w eM Client

Szyfrowanie TLS jest wbudowane w eM Client i konfigurowane podczas ustawiania konta:

1. Przejdź do Menu > Konta.
2. Kliknij swoje konto e-mail.
3. Przejdź do zakładki IMAP (poczta przychodząca).
4. W polu Szyfrowanie wybierz: SSL/TLS (zalecane) lub STARTTLS.
5. Upewnij się, że port to 993 dla SSL/TLS lub 143 dla STARTTLS.
6. Przejdź do zakładki SMTP (poczta wychodząca).
7. Ustaw szyfrowanie SSL/TLS (port 465) lub STARTTLS (port 587).
8. Kliknij OK i przetestuj połączenie.

Jeśli nie masz pewności, jakich ustawień użyć — sprawdź dokumentację swojego dostawcy poczty lub użyj automatycznego wykrywania podczas konfiguracji konta.

Problemy związane z TLS w eM Client

Serwer odrzuca połączenie — "Handshake failed"

Jeśli serwer poczty odrzuca połączenie z komunikatem o nieudanym "handshake" TLS:

• Upewnij się, że eM Client jest zaktualizowany do najnowszej wersji.
• Sprawdź, czy serwer poczty obsługuje TLS 1.2 (większość nowoczesnych serwerów tak).
• Spróbuj zmienić szyfrowanie z SSL/TLS na STARTTLS (lub odwrotnie).
• Sprawdź, czy numer portu jest poprawny dla wybranego trybu szyfrowania.

Ostrzeżenie o certyfikacie

Jeśli pojawia się ostrzeżenie o certyfikacie SSL podczas połączenia:

• Certyfikat serwera może być samopodpisany (często na firmowych serwerach) — możesz go zaakceptować i zaufać.
• Certyfikat mógł wygasnąć — skontaktuj się z administratorem serwera.
• Zegar systemu może być nieprawidłowy — TLS weryfikuje datę ważności certyfikatu.

Specjalny przypadek: TLS 1.3 i pętla OAuth Gmail na Windows 10

Na systemach Windows 10 TLS 1.3 może powodować specyficzny problem z uwierzytelnianiem OAuth dla kont Google: okno przeglądarki do logowania pojawia się, ale konfiguracja konta nie może zostać ukończona — tworzy się pętla.

Jeśli napotkasz ten problem, rozwiązaniem jest tymczasowe wyłączenie TLS 1.3 w rejestrze Windows:

1. Pobierz plik DisableTLS1.3.reg z oficjalnej strony pomocy eM Client.
2. Uruchom plik (wymagane uprawnienia administratora).
3. Uruchom ponownie eM Client.
4. Ponownie skonfiguruj konto Gmail (OAuth 2.0 powinien działać).

Problem ten jest specyficzny dla Windows 10 i implementacji Schannel — Windows 11 i macOS nie mają tego problemu.

Najczęstsze pytania

Czy eM Client obsługuje TLS 1.0?

eM Client w nowszych wersjach (8+) używa domyślnie TLS 1.2 i TLS 1.3. TLS 1.0 i TLS 1.1 są uznawane za przestarzałe i niezalecane — większość serwerów poczty wyłączyła je już w 2020 roku.

Dlaczego serwer poczty odrzuca połączenie eM Client?

Jeśli serwer odrzuca połączenie z powodu TLS, sprawdź czy eM Client jest zaktualizowany, a w ustawieniach konta wybrano SSL/TLS z portem 993 (IMAP) lub 465 (SMTP). Upewnij się też, że serwer obsługuje TLS 1.2.

Co to jest TLS i dlaczego jest ważne dla poczty?

TLS (Transport Layer Security) to protokół szyfrowania chroniący dane między klientem pocztowym a serwerem. Bez TLS wiadomości mogą być przechwycone. TLS 1.2 i 1.3 to aktualne, bezpieczne wersje protokołu.

Jak włączyć TLS w eM Client?

W eM Client szyfrowanie TLS konfiguruje się w Menu > Konta > [konto] > zakładka IMAP lub SMTP > Szyfrowanie. Wybierz SSL/TLS (port 993/465) lub STARTTLS (port 143/587). Opcja SSL/TLS jest bezpieczniejsza.