메일 서버 설정 시 RSA 인증서, TLS 암호화, 가상 사용자 관련 혼란

tag-icon tag-icon ssl postfix email-server dovecot
메일 서버 설정 시 RSA 인증서, TLS 암호화, 가상 사용자 관련 혼란

현재 다음과 같이 메일 서버를 만드는 과정을 이해하려고 노력 중입니다.이것가이드 등이 있습니다. 헷갈리는 부분이 좀 있어요. 하나씩 짚어보겠습니다.

시작하기 전에 현재 Ubuntu 20.04의 Digital Ocean 드롭릿을 통해 example.tk 형식의 웹사이트가 있고 내 메일 서버가 mail.example.tk에서 작동하도록 시도 중이라고 말씀드리겠습니다.

1.

각 도메인에 연결된 이메일 주소와 비밀번호를 소개하겠습니다. 모든 정보를 특정 정보로 변경했는지 확인하세요.

INSERT INTO `servermail`.`virtual_users`
(`id`, `domain_id`, `password` , `email`)
VALUES
('1', '1', ENCRYPT('firstpassword', CONCAT('$6$', SUBSTRING(SHA(RAND()), -16))), '[email protected]'),
('2', '1', ENCRYPT('secondpassword', CONCAT('$6$', SUBSTRING(SHA(RAND()), -16))), '[email protected]');

나는 무엇을 넣어야할지 전혀 모른다.[이메일 보호됨]' 그리고 '[이메일 보호됨]'. 내 웹사이트용 도메인과 사용하고 싶은 메일 하위 도메인이 있지만 여기에 어떤 이메일 주소를 입력해야 할지 모르겠습니다. 저는 완전 초보자이고 제가 접근할 수 있는 유일한 이메일 주소는 개인 이메일 주소뿐입니다. 내가 이메일 주소 같은 것을 만들어내려는 건가요? 내 example.tk 웹사이트에는 연결된 이메일 주소가 없습니다.

2.

먼저 TLS 매개변수에 주석을 달고 다른 매개변수를 추가해야 합니다. 이 튜토리얼에서는 무료 SSL 인증서와 튜토리얼(링크)에서 제안하는 경로를 사용하지만 개인 구성에 따라 수정할 수 있습니다.

# TLS parameters
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
#smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 
smtpd_tls_cert_file=/etc/ssl/certs/dovecot.pem
smtpd_tls_key_file=/etc/ssl/private/dovecot.pem
smtpd_use_tls=yes
smtpd_tls_auth_only = yes

내가 아는 바로는, 주석 처리되지 않은 처음 두 줄은 RSA 알고리즘이 TLS 암호화를 사용하도록 하는 것을 다루고 있는데, 이는 분명히 Dovecot에서 가져온 것입니다. 그렇다면 Dovecot이 Postfix에 대한 TLS 암호화를 처리한다고 가정하는 것이 안전하기를 바랍니다. smptd_use_tls 및 smptd_tls_auth_only의 구성 파일에 따르면 전자는 다음과 같이 정의됩니다.

기회적 TLS: 원격 SMTP 클라이언트에 대한 STARTTLS 지원을 발표하지만 클라이언트가 TLS 암호화를 사용할 것을 요구하지는 않습니다.

그리고 후자는

Postfix SMTP 서버에서 TLS 암호화가 선택 사항인 경우 암호화되지 않은 연결을 통해 SASL 인증을 발표하거나 수락하지 마세요.

두 가지가 활성화되어 있으면 따라가기가 약간 혼란스럽습니다. 우리는 처음 두 줄의 RSA 알고리즘을 사용하려고 하지만 제가 잘못 이해하지 않는 한 클라이언트가 이를 사용하도록 요구하지 않습니다(smptd_use_tls=yes로 선언됨). 이에 관계없이 smptd_use_tls 설명에서는 활성화된 경우 TLS 암호화가 선택 사항이며, TLS 암호화가 선택 사항인 경우 "암호화되지 않은 연결을 통해 SASL 인증을 발표하거나 수락하지 않음"이 분명합니다. 따라서 암호화되지 않은 연결에 대한 SASL 인증을 효과적으로 거부하는 것 같습니다. 따라서 클라이언트가 실제로 인증을 받기 위해 RSA 키를 사용해야 합니까?

나는 RSA 키가 일종의 TLS 암호화라고 믿기 때문에 RSA 인증서가 TLS 암호화와 정확히 어떤 관련이 있는지, 그리고 정확히 '암호화되지 않은 연결'이 무엇인지 그리고 그것이 연결되어 있는지 여부 등 여러 가지 사항을 혼란스럽게 할 수 있다고 생각합니다. RSA 키에 연결하거나 전혀 사용하지 않습니다.

관련 정보