Вместо того, чтобы покупать SSL, я бы создал сертификат SSL. Конечно, мой сертификат SSL не пригодится, если в браузерах отображается «Недоверенный SSL». Могу ли я использовать самоподписанный SSL на моем почтовом сервере для отправки и получения электронных писем? При использовании самоподписанного SSL прерывает ли он работу пользователей, говоря «вы используете ненадежный сертификат SSL»?
Будет ли это полезно?
И я считаю, что добавление SSL к почтовому серверу для обмена электронной почтой изменит мои номера портов с 25, 110, 143 на 465, 995, 993. Я прав?
Я ненавижу различаться, mailq, но SSL между MTA (то есть между вашим почтовым сервером и другими почтовыми серверами) прекрасно поддерживается и хорошо понятен. Он успешно работает на порту 25. Когда вы подключаетесь к почтовому серверу, предлагающему это, он объявляется на этапе EHLO:
[madhatta@anni ~]$ telnet www.teaparty.net 25
Trying 193.219.118.100...
Connected to www.teaparty.net.
Escape character is '^]'.
220 : ESMTP you accept terms at http://www.teaparty.net/smtp.html
EHLO me
250-www.teaparty.net Hello 88-111-161-32.dynamic.dsl.as9105.com [88.111.161.32], pleased to meet you
[...]
250-STARTTLS
[...]
Другой почтовый сервер, который желает использовать TLS, может затем запросить эскалацию до зашифрованной связи, а остальная часть SMTP-разговора может происходить под прикрытием криптографии. Подписанное или неподписанное состояние сертификата однорангового узла отображается в моих журналах sendmail следующим образом:
Sep 25 22:42:05 www sendmail[24905]: STARTTLS=server, relay=nagios.teaparty.net [82.26.102.225], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256
В этом случае я подключаюсь к внешнему серверу (или он сказал бы STARTTLS=client), и я не могу, используя свой комплект сертификатов, проверить сертификат партнера (или он сказал бы verify=YES). Но это прекрасная криптовалюта, и ею стоит заниматься.
В остальном я согласен с вашим (в остальном превосходным) ответом.
SSL полезен только для соединений между клиентами (Outlook, Thunderbird, ...) и сервером. И да, он изменит порты для IMAP, POP3 и SMTP на их эквивалентные порты.
Использование SSL между вашим SMTP-сервером и другими SMTP-серверами не поддерживается и не указывается (за исключением другого узла ретрансляции). Они по-прежнему будут использовать порт 25 для обмена почтой (незашифрованный).
Самозаверяющие сертификаты всегда будут «беспокоить» клиентов, поскольку им не доверяют. Вы можете сделать их доверенными, вставив открытый ключ CA в клиентское программное обеспечение.
Так что если это полезно, зависит от того, чего вы пытаетесь достичь.