Я собираюсь включить TLS на своих серверах Postfix. Я делаю это в результате того, что мне сказали, что есть некоторые серверы-отправители, которые отказываются отправлять сообщения, если TLS недоступен. Поскольку у меня есть много серверов, на которых мне нужно включить это, я буду использовать SSL-сертификат с подстановочными знаками. Полагаю, если я просто воспользуюсь Verisign, у меня, вероятно, не будет проблем с отправкой серверов, распознающих наш сертификат. Однако у меня возникает соблазн попробовать более дешевый вариант, такой как RapidSSL или даже cacert.org (который, как я понимаю, предоставляет бесплатные сертификаты). Есть ли у кого-нибудь опыт использования одного из этих более дешевых вариантов? Распознаются ли их сертификаты большинством почтовых серверов?
Когда я пытаюсь найти ответы на эту тему, мне кажется, что всех беспокоит только распознавание почтовых клиентов ... однако для меня это совершенно не имеет отношения, поскольку наши серверы предназначены только для входящей почты ... ни один почтовый клиент никогда не подключается к ним.
По моему опыту, большинство почтовых серверов не проверяют сертификат. Я использовал самоподписанные сертификаты на своих почтовых серверах для TLS в течение многих лет и не видел никаких проблем с доставкой. Так что сначала я бы попробовал и посмотрел, не работают ли системы, с которыми у вас возникают проблемы при общении.
У Postfix есть руководство по различным уровням безопасности для TLS здесь: http://www.postfix.org/postconf.5.html#smtp_tls_security_level
Соответствующие уровни безопасности, которые они могут использовать, - это «шифрование», «проверка» и «безопасность». Все они говорят: «Этот уровень безопасности не подходит по умолчанию для систем, доставляющих почту в Интернет». По сути, серверы-отправители делают это неправильно. TLS не требуется для систем электронной почты в Интернете. Но я предполагаю, что вы не можете этого контролировать.
Если они используют уровень шифрования, самоподписанный сертификат будет работать нормально.