Para um iniciante, alguém pode recomendar um bom método para configurar um servidor IMAP criptografado (na porta 993) ou pelo menos um e-mail TLS POP3? Existem muitos exemplos de criptografia oportunista de e-mail do lado do cliente com PGP, FireGPG ou Enigmail, mas essa não é a resposta que estou procurando porque a troca de chaves é complicada para alguns usuários (e precisa ser utilizável por todos, não apenas por alguns)
Basicamente, gostaria de saber como configurar uma empresa de 50 pessoas com e-mail criptografado, usando um certificado de empresa autoassinado, para que eles possam se conectar ao Thunderbird sem qualquer configuração adicional necessária.
Ou algo parecido com a experiência que você obtém ao se conectar ao e-mail TLS do Gmail usando o Thunderbird.
Um simples apontar na direção certa pode ser recompensado como resposta.
Responder1
eu faria isso comPombal, embora você não tenha mencionado seu sistema operacional preferido. A configuração é relativamente simples.
(dica: /etc/dovecot/dovecot.conf, configure protocolos, ssl_cert_file e ssl_key_file).
Algumas advertências das quais você já deve estar ciente:
Não use um certificado autoassinado.Faça sua própria CAe distribua-o ou encontre um certificado SSL barato emComodoou GoDaddy ou alguém.
Esta não é uma solução completa como o GPG. pops e imaps protegem apenas o e-mail em trânsito do seu servidor de e-mail para o cliente. O e-mail permanecerá em texto não criptografado em praticamente qualquer outro lugar - enquanto estiver no servidor ou cliente, nas redes de outras pessoas e impresso. Isso não quer dizer que não valha a pena, mas não finja que é tudo o que você precisa fazer.
Responder2
Geralmente é tão simples quanto criar um certificado (autoassinado ou comprar um certificado SSL de um fornecedor), apontar o arquivo de configuração do seu servidor de e-mail para os arquivos que contêm o certificado e a chave privada, ativar o TLS e, opcionalmente, definir o e-mail servidor para negar logins que não estejam usando TLS/SSL.
Eu uso o Dovecot para IMAP e POP, e oinstruções em seu wikisão bastante abrangentes.
Tudo que tive que adicionar à configuração padrão do Dovecot do Debian para habilitar o TLS foi:
ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem
Responder3
Será muito específico para o servidor de e-mail de sua escolha. Mas algumas dicas adicionais:
IMAPS na porta 993 é SSL, em vez de TLS. A diferença é que o SSL negocia a criptografia desde o início. Enquanto o TLS negocia criptografia sobre um canal de texto simples. Um não é necessariamente pior que o outro, mas é importante diferenciar seu comportamento. O IMAP é mais adequado para o primeiro.
Além de proteger o IMAP, você também deseja proteger os e-mails que seus usuários enviam para o servidor. Isso significa colocar uma restrição para que as mensagens retransmitidas (não para contas locais) cheguem por TLS e, além disso, devem ser autenticadas com SMTP AUTH.
Por último, você pode optar por retransmitir mensagens para outros servidores públicos usando TLS, onde eles oferecerem suporte. Nem todos fazem. Mas, ao disponibilizar a opção, você pode proteger uma parte de sua correspondência enviada enquanto ela está em trânsito no primeiro salto.
Responder4
Recomendo sempre o excelenteServidor de e-mail estilo ISP com instruções sobre Debian-Etch e Postfix 2.3
Ele descreve como instalar um servidor de e-mail habilitado para SSL/TLS:
- pombal, postfix
- autenticação smtp
- banco de dados do usuário
- domínios virtuais
- filtro de spam
Como outros já disseram, você precisa colocar algumas restrições no tráfego SMTP entre servidores de correio para impor criptografia para e-mails de saída.
Depois, você pode querer examinar o S/MIME para resolver o problema de assinatura de mensagens no nível da empresa. tinycadeve ajudá-lo a começar a criar a infraestrutura principal.
Se precisar de armazenamento criptografado, você também poderá criptografar os discos rígidos.