初心者向けに、暗号化された IMAP サーバー (ポート 993) または少なくとも TLS POP3 メールを設定する良い方法を誰かお勧めいただけませんか? PGP、FireGPG、Enigmail を使用したクライアント側でのメール暗号化の例はたくさんありますが、これは私が探している答えではありません。キーの交換は一部のユーザーにとって複雑だからです (また、一部のユーザーだけでなく、すべてのユーザーが使用できる必要があります)。
基本的に、自己署名の会社証明書を使用して、暗号化された電子メールを持つ 50 人の会社を設定し、追加の構成を必要とせずに Thunderbird に接続できるようにする方法を知りたいです。
または、Thunderbird を使用して Gmail TLS メールに接続したときに得られるエクスペリエンスに少し似ています。
正しい方向を指差すだけで、回答として報酬を得られる場合があります。
答え1
私はこうするだろう鳩小屋ただし、優先する OS については触れていません。設定は比較的簡単です。
(ヒント: /etc/dovecot/dovecot.conf、プロトコル、ssl_cert_file、および ssl_key_file を設定します)。
すでにご存知かもしれませんが、いくつかの注意事項があります。
自己署名証明書を使用しないでください。独自のCAを作成するそれを配布するか、安価なSSL証明書をコモドまたはGoDaddyか誰か。
これは GPG のような本格的なソリューションではありません。pops と imaps は、メール サーバーからクライアントへの転送中のメールのみを保護します。メールは、サーバーやクライアントに保存されている間、他の人のネットワーク上にある間、印刷されている間など、他のほとんどの場所では平文のままです。これは価値がないと言っているわけではありませんが、必要なことはこれだけだなどと思わないでください。
答え2
通常は、証明書(自己署名証明書またはベンダーから SSL 証明書を購入)を作成し、メール サーバーの構成ファイルを証明書と秘密鍵を含むファイルにポイントし、TLS を有効にし、オプションで TLS/SSL を使用していないログインを拒否するようにメール サーバーを設定するだけです。
私はIMAPとPOPにDovecotを使っていますが、ウィキの説明かなり包括的です。
TLS を有効にするために Debian のデフォルトの Dovecot 設定に追加する必要があったのは次の 2 つだけです。
ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem
答え3
これは選択したメールサーバーに非常に固有のものになります。ただし、追加のヒントがいくつかあります。
ポート 993 の IMAPS は TLS ではなく SSL です。違いは、SSL は最初から暗号化をネゴシエートすることです。一方、TLS はプレーンテキスト チャネル上で暗号化をネゴシエートします。どちらかが必ずしも劣っているわけではありませんが、動作を区別することが重要です。IMAP は前者に適しています。
IMAP のセキュリティ保護に加えて、ユーザーがサーバーに送信するメールのセキュリティ保護も必要です。つまり、リレーされた (ローカル アカウントではない) メッセージが TLS 経由で受信されるように制限を設け、さらに SMTP AUTH で認証する必要があります。
最後に、TLS をサポートしている他のパブリック サーバーに TLS を使用してメッセージを中継することもできます。すべてのサーバーが TLS をサポートしているわけではありません。ただし、このオプションを利用できるようにすることで、最初のホップを転送中に、送信メールの一部を保護できます。
答え4
私はいつも優れたDebian-Etch と Postfix 2.3 を使用した ISP スタイルのメール サーバーの作成方法
SSL/TLS 対応メール サーバーのインストール方法について説明します。
- dovecot、ポストフィックス
- SMTP認証
- ユーザーデータベース
- 仮想ドメイン
- スパムフィルタ
他の人がすでに述べているように、送信メールの暗号化を強制するには、メール サーバー間の SMTP トラフィックに何らかの制限を設ける必要があります。
その後、企業レベルでメッセージ署名の問題を解決するために、S/MIME を検討することをお勧めします。これは、tinyca主要なインフラストラクチャの作成を開始するのに役立つはずです。
暗号化されたストレージが必要な場合は、ハードディスクも暗号化できます。