Я использую почтовый сервер Debian и с нетерпением жду возможности шифровать почту из своего домена в домен делового партнера. Кроме того, шифрование должно происходить на самом почтовом сервере, а не на почтовом клиенте.
Возможно ли это? Я уже нашел, как создать ключ с почтовым адресом "@domain.com", но я не могу использовать его в нашем почтовом клиенте, так как он не поддерживает GnuPG или PGP.
решение1
Шифрование агентов пересылки почты
Вполне возможно, что вы пытаетесь добиться желаемого, но вам потребуется установить дополнительное программное обеспечение, так называемый «шифрующий MTA» (агент передачи почты, также известный как почтовый сервер).
Доступно несколько продуктов,GEAM от G10code(от компании-разработчика GnuPG),Шифрование электронной почты Symantec Gatewayи, возможно, даже больше. Существуют различные сценарии, определение единого ключа для всех сообщений, хранение разных ключей на сервере для каждого пользователя/почтового ящика.
Шифрование передачи
Но сценарий, который вы описываете,шифрование передачи, поскольку должна быть защищена только передача сообщений, а не обработка или хранение писем (серверы в любом случае должны выполнять задачи шифрования, если клиентские приложения не должны этого делать). И OpenPGP, и S/MIME — неправильные инструменты для шифрования передачи, они предназначены для шифрования отдельных сообщений. Это имеет как преимущества, так и недостатки; в случае их неправильного использования для вашего сценария это означает, что некоторые метаданные все еще не зашифрованы (получатели, темы, ...), и реализация этого требует дополнительного программного обеспечения и является более сложной в использовании по сравнению с протоколами, созданными для этой цели.
Вероятно, вам следует рассмотреть шифрование связи между серверами. Настройте их оба должным образом для поддержки TLS и рассмотрите возможность принудительного использования TLS-подключений к соответствующему другому серверу. Это зашифруетвсесвязь между этими серверами, включая метаданные, и поддерживается «из коробки» всеми соответствующими реализациями почтовых серверов, и, наконец, также будет прозрачно шифровать связь с другими почтовыми серверами, если это возможно.
Шифрование передачи данных должно быть чем-то, что вы должны реализовать в любом случае, и в зависимости от местного законодательства, чем-то, что действительно требуется при обработке личной информации и коммуникаций (но часто это никого не волнует, и полный запрет незашифрованной коммуникации с произвольными почтовыми серверами помешает коммуникации с некоторыми одноранговыми клиентами).
Шифрование сообщений
Шифрование сообщений на клиентах все еще может быть важным. Если OpenPGP выходит за рамки (из-за установки дополнительного ПО, а также может случиться, что OpenPGP просто не лучший инструмент для этого варианта использования), рассмотрите возможность использования S/MIME, который изначально поддерживается большинством почтовых клиентов.