Для новичков, может ли кто-нибудь порекомендовать хороший метод настройки зашифрованного сервера IMAP (на порту 993) или хотя бы электронной почты TLS POP3? Существует множество примеров оппортунистического шифрования электронной почты на стороне клиента с помощью PGP или FireGPG или Enigmail, но это не тот ответ, который я ищу, потому что обмен ключами сложен для некоторых пользователей (и он должен быть доступен для использования всеми, а не только некоторыми)
В принципе, мне хотелось бы узнать, как настроить для компании из 50 человек зашифрованную электронную почту, используя самоподписанный сертификат компании, чтобы они могли подключаться к Thunderbird без необходимости какой-либо дополнительной настройки.
Или что-то похожее на то, что вы получаете при подключении к электронной почте Gmail TLS с помощью Thunderbird.
Простое указание правильного направления может быть вознаграждено в качестве ответа.
решение1
Я бы сделал это сГолубятня, хотя вы не упомянули предпочитаемую вами ОС. Конфигурация относительно проста.
(подсказка: /etc/dovecot/dovecot.conf, настройте протоколы, ssl_cert_file и ssl_key_file).
Несколько предостережений, о которых вы, возможно, уже знаете:
Не используйте самоподписанный сертификат.Создайте свой собственный CAи распространите его или найдите дешевый SSL-сертификат отКомодоили GoDaddy или кто-то еще.
Это не полноценное решение, как GPG. POP и IMAP защищают только электронную почту при передаче с вашего почтового сервера к клиенту. Электронная почта останется открытым текстом практически везде — на сервере или клиенте, в сетях других людей и в распечатанном виде. Это не значит, что это не стоит того, но не притворяйтесь, что это все, что вам нужно сделать.
решение2
Обычно это так же просто, как создать сертификат (либо самоподписанный, либо купить SSL-сертификат у поставщика), указать в файле конфигурации вашего почтового сервера файлы, содержащие сертификат и закрытый ключ, включить TLS и, при необходимости, настроить почтовый сервер так, чтобы он отклонял входы, не использующие TLS/SSL.
Я использую Dovecot для IMAP и POP, а такжеинструкции на их викиявляются достаточно всеобъемлющими.
Все, что мне пришлось добавить в конфигурацию Dovecot по умолчанию в Debian для включения TLS, это:
ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem
решение3
Это будет очень специфично для вашего почтового сервера по выбору. Но вот несколько дополнительных указаний:
IMAPS на порту 993 — это SSL, а не TLS. Разница в том, что SSL согласовывает шифрование с самого начала. В то время как TLS согласовывает шифрование поверх текстового канала. Один не обязательно хуже другого, но важно различать их поведение. IMAP лучше подходит для первого.
В дополнение к защите IMAP вы также хотите защитить почту, которую ваши пользователи отправляют на сервер. Это означает, что необходимо установить ограничение, что ретранслируемые (не на локальные учетные записи) сообщения приходят через TLS, и, кроме того, они должны быть аутентифицированы с помощью SMTP AUTH.
Наконец, вы можете выбрать ретрансляцию сообщений на другие публичные серверы с использованием TLS, где они его поддерживают. Не все это делают. Но сделав эту опцию доступной, вы можете защитить часть исходящей почты, пока она находится в пути первого транзитного участка.
решение4
Я всегда рекомендую превосходныйПочтовый сервер в стиле интернет-провайдера с Debian-Etch и Postfix 2.3 howto
В нем описывается, как установить почтовый сервер с поддержкой SSL/TLS:
- голубятня, постфикс
- аутентификация smtp
- база данных пользователей
- виртуальные домены
- спам-фильтр
Как уже говорили другие, вам необходимо наложить некоторые ограничения на SMTP-трафик между почтовыми серверами, чтобы обеспечить шифрование исходящих писем.
После этого вы, возможно, захотите рассмотреть S/MIME для решения проблемы подписи сообщений на уровне компании. tinycaЭто должно помочь вам приступить к созданию ключевой инфраструктуры.
Если вам необходимо зашифрованное хранилище, вы можете зашифровать и жесткие диски.