Para un principiante, ¿alguien puede recomendar un buen método para configurar un servidor IMAP cifrado (en el puerto 993) o al menos un correo electrónico TLS POP3? Hay muchos ejemplos de cifrado de correo electrónico del lado del cliente oportunista con PGP, FireGPG o Enigmail, pero esa no es la respuesta que estoy buscando porque el intercambio de claves es complicado para algunos usuarios (y debe ser utilizable por todos, no solo por algunos).
Básicamente, me gustaría saber cómo configurar una empresa de 50 personas con correo electrónico cifrado, utilizando un certificado de empresa autofirmado, para que puedan conectarse con Thunderbird sin necesidad de ninguna configuración adicional.
O algo parecido a la experiencia que se obtiene al conectarse al correo electrónico TLS de Gmail mediante Thunderbird.
Un simple señalamiento en la dirección correcta puede ser recompensado como respuesta.
Respuesta1
Yo haría esto conPalomar, aunque no mencionaste tu sistema operativo preferido. La configuración es relativamente sencilla.
(pista: /etc/dovecot/dovecot.conf, configure protocolos, ssl_cert_file y ssl_key_file).
Un par de advertencias que quizás ya conozcas:
No utilice un certificado autofirmado.Crea tu propia CAy distribuirlo, o encontrar un certificado SSL barato deComodoo GoDaddy o alguien.
Esta no es una solución completa como lo es GPG. pops e imaps solo protegen el correo electrónico en tránsito desde su servidor de correo electrónico al cliente. El correo electrónico permanecerá en texto claro prácticamente en cualquier otro lugar, mientras permanezca en el servidor o cliente, en las redes de otras personas y se imprima. Eso no quiere decir que no valga la pena, pero no pretendas que es todo lo que necesitas hacer.
Respuesta2
Generalmente es tan simple como crear un certificado (ya sea uno autofirmado o comprar un certificado SSL de un proveedor), apuntar el archivo de configuración de su servidor de correo a los archivos que contienen el certificado y la clave privada, habilitar TLS y, opcionalmente, configurar el correo. servidor para denegar inicios de sesión que no utilicen TLS/SSL.
Utilizo Dovecot para IMAP y POP, y elinstrucciones en su wikison bastante completos.
Todo lo que tuve que agregar a la configuración predeterminada de Dovecot de Debian para habilitar TLS fue:
ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem
Respuesta3
Será muy específico para el servidor de correo que elija. Pero un par de consejos adicionales:
IMAPS en el puerto 993 es SSL, en lugar de TLS. La diferencia es que SSL negocia el cifrado desde el principio. Mientras que TLS negocia el cifrado sobre un canal de texto sin formato. Uno no es necesariamente peor que el otro, pero es importante diferenciar su comportamiento. IMAP se adapta mejor al primero.
Además de proteger IMAP, también desea proteger el correo que sus usuarios envían al servidor. Esto significa imponer una restricción para que los mensajes retransmitidos (no a cuentas locales) lleguen a través de TLS y, además, deben autenticarse con SMTP AUTH.
Por último, puede optar por transmitir mensajes a otros servidores públicos mediante TLS, donde lo admitan. No todos lo hacen. Pero al hacer que la opción esté disponible, puede proteger una parte de su correo saliente mientras está en tránsito del primer salto.
Respuesta4
Siempre recomiendo lo excelente.Servidor de correo electrónico estilo ISP con Debian-Etch y Postfix 2.3: instrucciones
Describe cómo instalar un servidor de correo habilitado para SSL/TLS:
- palomar, postfix
- autenticación smtp
- base de datos de usuarios
- dominios virtuales
- filtro de spam
Como ya dijeron otros, es necesario imponer algunas restricciones al tráfico SMTP entre servidores de correo para imponer el cifrado de los correos salientes.
Luego es posible que desees analizar S/MIME para resolver el problema de firma de mensajes a nivel empresarial. tinycadebería ayudarle a empezar a crear la infraestructura clave.
Si necesita almacenamiento cifrado, también puede cifrar los discos duros.