Я настраиваю внутреннюю почтовую сеть, которая должна выполнять всю передачу с использованием ssl, и я хочу, чтобы все шифрование выполнялось с помощью stunnel. Пока что у меня есть pop3s, imaps и sendmail в режиме сервера, использующие шифрование ssl, предоставляемое stunnel. Можно ли использовать stunnel для обертывания исходящих соединений с помощью ssl-шифрования?
Я так - как мне это сделать, мне сложно найти достойный учебник ...
Как я уже сказал в другом вопросе здесь - я разработчик встроенной платформы - я обычно не настраиваю ничего более странного, чем sendmail ...
Ваше объяснение отличное и ясное. Если sendmail настроен на использование TLS, он сам поддерживает TLS и при подключении к другому MTA, предлагающему TLS, автоматически устанавливает безопасное соединение. На эту тему есть хорошая статья http://www.brandonhutchinson.com/Using_TLS_with_Sendmail.html .
Мой собственный файл m4 говорит:
dnl TLS support
define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl
define(`confCACERT', `/etc/pki/tls/certs/ca-bundle.crt')dnl
define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl
define(`confSERVER_KEY', `/etc/pki/tls/certs/sendmail.pem')dnl
И это, плюс самозаверяющий сертификат, было всем, что мне нужно, чтобы мой сервер был совместим с TLS. Вы можете проверить возможности, поговорив с MTA и выполнив EHLO:
[madhatta@risby tmp]$ telnet www.teaparty.net 25
Trying 193.219.118.100...
Connected to www.teaparty.net.
Escape character is '^]'.
220 : ESMTP banner removed
EHLO me
250-www.teaparty.net Hello (source address deleted), pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE 14000000
250-ETRN
250-STARTTLS
250-DELIVERBY
250 HELP
Обратите внимание 250-STARTTLS. Как только все ваши почтовые ящики sendmail предлагают эту возможность, все они должны автоматически шифровать все межсерверные SMTP-соединения. Если вы хотите пройти лишнюю милю, создав свой собственный корень CA и установив его на всех серверах, и используя его для подписи сертификата каждого сервера, серверы смогут проверять идентичность друг друга при согласовании TLS, что добавит к внутреннему безопасность. Создание и использование собственного ЦС выходит за рамки этого ответа!