У нас есть отношения с некоторыми банками, которые пытаются внедрить безопасную электронную почту. Есть ли какой-либо метод, который заставил бы сервер отправлять электронные письма через TLS при отправке электронной почты в определенный домен? Это cpanel / WHM-сервер.
В основном нам нужно требовать, чтобы электронная почта была защищена от пользователя -> почтового сервера и от почтового сервера -> сервера банка.
Я не совсем знаком с тем, что происходит после того, как письмо покидает мою почтовую программу. Если я отправляю сообщение через исходящее соединение TLS или SSL, покидает ли электронное письмо с почтового сервера также через безопасное соединение? У меня нет проблем с реализацией TLS от клиента к почтовому серверу. Я не понимаю, когда он попадает на почтовый сервер.
Любая помощь по этому поводу будет оценена.
Другие могут поговорить о проблемах, связанных с cpanel, но я могу поговорить с SMTP TLS.
Соединение TLS согласовывается между двумя почтовыми программами как часть процесса согласования ESMTP. Большинство почтовых программ можно настроить так, чтобы они предпочитали соединения TLS обычным (или нет, шифрование требует циклов ЦП), а основные почтовые программы Linux также имеют возможность устанавливать политики почты для каждого домена, которые включают параметры TLS. Таким образом, вы можете указать, что wellsfargo.com получает TLS, а gmail.com, например, нет. Почтовые программы в наши дни довольно хорошо разбираются в штампах Received-By: заголовки с (TLS) если он получил почту через соединение TLS.
Это зашифрует почту, пересылаемую между фактическими почтовыми программами. Шифрование между отправителем и почтовой программой потребует от отправителя использовать зашифрованный метод для отправки, либо TLS, либо SSL. Требование входа в систему для отправки почты и разрешение входа только через зашифрованные методы выполнят это.
Если вам нужно, чтобы почта была зашифрована, пока она находится в почтовых очередях, вам придется зашифровать сами письма с помощью S / MIME или PGP / GPG.
Проверьте главу TLS / SSL в Спецификации Exim. Если у вас включен TLS, он будет использоваться для исходящих подключений к серверам, которые рекламируют STARTTLS. TLS потребуется для хостов, перечисленных в hosts_require_tls вариант. Это должно быть установлено в начале файла конфигурации eximʻa.
Лично (и для руководства) я бы не стал доверять этому, хотя бы по той причине, что если что-то пойдет не так, вы можете не знать об этом без строгого мониторинга журналов, и это зависит не только от конфигурации вашего сервера, но и от всех остальных. организации, остающиеся на борту, и вы не можете контролировать их обновления / изменения / политику. Я бы предпочел сохранить больший контроль и сделать это с помощью PGP в почтовых клиентах пользователей. Вы будете уверены, что почта зашифрована таким образом, даже если почтовый сервер скомпрометирован, а не только в транзитном канале.