Wie richte ich einen SSL-Mailserver ein?

Ich würde das tun mitTaubenschlag, obwohl Sie Ihr bevorzugtes Betriebssystem nicht erwähnt haben. Die Konfiguration ist relativ unkompliziert.

(Hinweis: /etc/dovecot/dovecot.conf, Protokolle, SSL-Zertifikatsdatei und SSL-Schlüsseldatei konfigurieren).

Ein paar Vorbehalte, die Ihnen vielleicht bereits bekannt sind:

1. Verwenden Sie kein selbstsigniertes Zertifikat.Erstellen Sie Ihre eigene Zertifizierungsstelleund verteilen Sie es, oder finden Sie ein günstiges SSL-Zertifikat vonComodooder GoDaddy oder jemand.

2. Dies ist keine vollwertige Lösung wie GPG. POPs und IMAPs sichern die E-Mail nur während der Übertragung von Ihrem E-Mail-Server zum Client. Die E-Mail bleibt praktisch überall sonst im Klartext – während sie auf dem Server oder Client, in den Netzwerken anderer Benutzer und ausgedruckt gespeichert wird. Das heißt nicht, dass sich dies nicht lohnt, aber tun Sie nicht so, als wäre es alles, was Sie tun müssen.

Normalerweise müssen Sie dazu lediglich ein Zertifikat erstellen (entweder ein selbstsigniertes oder ein SSL-Zertifikat von einem Anbieter erwerben), die Konfigurationsdatei Ihres Mailservers auf die Dateien verweisen, die das Zertifikat und den privaten Schlüssel enthalten, TLS aktivieren und den Mailserver optional so einstellen, dass er Anmeldungen verweigert, die TLS/SSL nicht verwenden.

Ich verwende Dovecot für IMAP und POP und dieAnweisungen auf ihrem Wikisind ziemlich umfangreich.

Um TLS zu aktivieren, musste ich der Standard-Dovecot-Konfiguration von Debian lediglich Folgendes hinzufügen:

ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem

Es hängt sehr stark vom Mailserver Ihrer Wahl ab. Hier noch ein paar zusätzliche Hinweise:

• IMAPS auf Port 993 ist SSL, nicht TLS. Der Unterschied besteht darin, dass SSL die Verschlüsselung von Anfang an aushandelt. Während TLS die Verschlüsselung über einen Klartextkanal aushandelt. Das eine ist nicht unbedingt schlechter als das andere, aber es ist wichtig, ihr Verhalten zu unterscheiden. IMAP ist für Ersteres besser geeignet.

• Neben der Sicherung von IMAP möchten Sie auch die E-Mails sichern, die Ihre Benutzer an den Server senden. Dies bedeutet, dass Sie eine Einschränkung festlegen, dass weitergeleitete (nicht an lokale Konten) Nachrichten über TLS eingehen und zusätzlich mit SMTP AUTH authentifiziert werden sollten.

• Schließlich können Sie sich dafür entscheiden, Nachrichten mit TLS an andere öffentliche Server weiterzuleiten, sofern diese dies unterstützen. Das tun nicht alle. Indem Sie diese Option jedoch verfügbar machen, können Sie einen Teil Ihrer ausgehenden E-Mails während der Übertragung des ersten Hops sichern.

Ich empfehle immer das ausgezeichneteISP-artiger E-Mail-Server mit Debian-Etch und Postfix 2.3 – Anleitung

Es beschreibt, wie ein SSL/TLS-fähiger Mailserver installiert wird:

• Taubenschlag, Postfix
• SMTP-Authentifizierung
• Benutzerdatenbank
• Virtuelle Domänen
• Spam Filter

Wie andere bereits gesagt haben, müssen Sie einige Beschränkungen für den SMTP-Verkehr zwischen Mailservern festlegen, um die Verschlüsselung ausgehender E-Mails zu erzwingen.

Anschließend möchten Sie sich möglicherweise mit S/MIME befassen, um das Problem der Nachrichtensignierung auf Unternehmensebene zu lösen. Dies tinycasollte Ihnen beim Erstellen der Schlüsselinfrastruktur helfen.

Wenn Sie verschlüsselten Speicher benötigen, können Sie auch die Festplatten verschlüsseln.