Назад | Перейти на главную страницу

Как мне настроить почтовый сервер SSL?

Может ли кто-нибудь новичку порекомендовать хороший метод настройки зашифрованного сервера IMAP (на порту 993) или хотя бы электронной почты TLS POP3? Существует множество примеров гибкого шифрования электронной почты на стороне клиента с помощью PGP, FireGPG или Enigmail, но это не тот ответ, который я ищу, потому что обмен ключами сложен для некоторых пользователей (и он должен быть доступен всем, а не только некоторым)

В основном я хотел бы знать, как настроить компанию из 50 человек с зашифрованной электронной почтой, используя самозаверяющий сертификат компании, чтобы они могли подключаться к Thunderbird без какой-либо дополнительной настройки.

Или что-то вроде того, что вы получаете при подключении к электронной почте Gmail TLS с помощью Thunderbird.

Простое указание в правильном направлении может быть вознаграждено в качестве ответа.

Я бы сделал это с Dovecot, хотя вы не упомянули предпочитаемую вами ОС. Конфигурация относительно проста.

(подсказка: /etc/dovecot/dovecot.conf, настройка протоколов, ssl_cert_file и ssl_key_file).

Несколько предостережений, о которых вы, возможно, уже знаете:

  1. Не используйте самоподписанный сертификат. Создайте свой собственный CA и распространите его, или найдите дешевый сертификат SSL от Комодо или GoDaddy, или еще кто-нибудь.

  2. Это не полноценное решение, как GPG. pop и imaps только защищают электронную почту при передаче от вашего почтового сервера к клиенту. Электронное письмо останется открытым текстом почти везде - пока оно хранится на сервере или клиенте, в чужих сетях и распечатывается. Это не значит, что это не имеет смысла, но не делайте вид, что это все, что вам нужно сделать.

Это будет очень специфично для выбранного вами почтового сервера. Но пара дополнительных указателей:

  • IMAPS на порте 993 - это SSL, а не TLS. Разница в том, что SSL согласовывает шифрование с самого начала. В то время как TLS согласовывает шифрование поверх канала с открытым текстом. Один не обязательно хуже другого, но важно различать их поведение. IMAP лучше подходит для первого.

  • В дополнение к защите IMAP вы также хотите защитить почту, которую ваши пользователи отправляют на сервер. Это означает установку ограничения на то, чтобы ретранслируемые (не в локальные учетные записи) сообщения приходили через TLS, и, кроме того, они должны аутентифицироваться с помощью SMTP AUTH.

  • Наконец, вы можете выбрать ретрансляцию сообщений на другие общедоступные серверы с помощью TLS, где они это поддерживают. Не все. Но сделав эту опцию доступной, вы можете защитить часть исходящей почты, пока она проходит первый переход.

Обычно это так же просто, как создание сертификата (самоподписанного или покупка сертификата SSL у поставщика), указание файла конфигурации вашего почтового сервера на файлы, содержащие сертификат и закрытый ключ, включение TLS и, при необходимости, настройка почты. сервер, чтобы запретить вход в систему, не использующий TLS / SSL.

Я использую Dovecot для IMAP и POP, а инструкции на их вики достаточно всеобъемлющи.

Все, что мне нужно было добавить в конфигурацию Dovecot по умолчанию Debian, чтобы включить TLS:

ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem

Я всегда рекомендую отличный Почтовый сервер в стиле ISP с Debian-Etch и Postfix 2.3 howto

В нем описывается, как установить почтовый сервер с поддержкой SSL / TLS:

  • голубятня, постфикс
  • smtp auth
  • база данных пользователей
  • виртуальные домены
  • спам-фильтр

Как уже говорили другие, вам нужно наложить некоторые ограничения на трафик smtp между почтовыми серверами, чтобы обеспечить шифрование исходящей почты.

После этого вы можете изучить S / MIME, чтобы решить проблему подписи сообщений на уровне компании. tinyca должно помочь вам начать создание ключевой инфраструктуры.

Если вам нужно зашифрованное хранилище, вы также можете зашифровать жесткие диски.