私は Debian メール サーバーを実行しており、自分のドメインからビジネス パートナーのドメインへのメールを暗号化したいと考えています。また、暗号化はメール クライアントではなくメール サーバー自体で行われる必要があります。
これは可能ですか? メール アドレス "@domain.com" を持つキーを作成する方法は既にわかりましたが、GnuPG や PGP をサポートしていないため、メール クライアントでは使用できません。
答え1
メール転送エージェントの暗号化
あなたが達成しようとしていることは十分に可能ですが、いわゆる「暗号化 MTA」(メール転送エージェント、メール サーバーとも呼ばれる)という追加のソフトウェアをインストールする必要があります。
いくつかの製品が利用可能であり、G10codeのGEAM(GnuPGを開発している会社より)シマンテックのゲートウェイ電子メール暗号化おそらく、さらに他にもさまざまなシナリオがあります。すべてのメッセージに対して単一のキーを定義したり、ユーザー/メールボックスごとに異なるキーをサーバー上に保存したりするシナリオがあります。
転送の暗号化
しかし、あなたが説明しているシナリオは転送暗号化保護されるのはメッセージの送信のみであり、メールの処理や保存は保護されません (クライアント アプリケーションが暗号化タスクを行わない場合、サーバーはいずれにしても暗号化タスクを行う必要があります)。OpenPGP と S/MIME はどちらも転送暗号化には適さないツールであり、個々のメッセージを暗号化するためのものです。これには利点と欠点の両方があります。シナリオでこれらを誤って使用すると、一部のメタデータが暗号化されないままになります (受信者、件名など)。これを実装するには追加のソフトウェアが必要になり、この目的のために構築されたプロトコルに比べて使用が複雑になります。
おそらく検討すべきなのは、サーバー間の通信を暗号化することです。両方のサーバーを適切に構成してTLSをサポートし、それぞれのサーバーへのTLS接続を強制することを検討してください。これにより、全てメタデータを含むこれらのサーバー間の通信は、関連するすべてのメール サーバー実装によってすぐにサポートされ、最終的には、可能な場合は他のメール サーバーとの通信も透過的に暗号化されます。
転送の暗号化はいずれにしても実装するべきものであり、個人情報や通信を処理する際に実際に必要なものであるかどうかは現地の法律によって異なります (ただし、多くの場合、誰も気にしておらず、任意のメール サーバーとの暗号化されていない通信を完全に拒否すると、一部のピアとの通信が妨げられます)。
メッセージの暗号化
クライアントでメッセージを暗号化することは、依然として重要な場合があります。OpenPGP が範囲外である場合 (追加のソフトウェアをインストールするため、また、このユースケースでは OpenPGP が最適なツールではない可能性もあります)、ほとんどのメール クライアントでネイティブにサポートされている S/MIME を検討してください。