對於初學者,有人可以推薦一種設定加密 IMAP 伺服器(在連接埠 993 上)或至少 TLS POP3 電子郵件的好方法嗎?有許多使用PGP 或FireGPG 或Enigmail 進行機會性客戶端電子郵件加密的範例,但這不是我正在尋找的答案,因為交換金鑰對於某些用戶來說很複雜(並且它需要可供每個人使用,而不僅僅是某些用戶)
我基本上想知道如何使用自簽名的公司證書來設定一個擁有 50 人的公司,並使用加密電子郵件,以便他們可以與 Thunderbird 連接,而無需任何額外的配置。
或者,有點類似於使用 Thunderbird 連接到 Gmail TLS 電子郵件時所獲得的體驗。
簡單地指出正確的方向可能會得到獎勵作為答案。
答案1
我會這樣做鴿舍,儘管您沒有提到您的首選作業系統。配置相對簡單。
(提示:/etc/dovecot/dovecot.conf,設定協定、ssl_cert_file 和 ssl_key_file)。
您可能已經知道一些注意事項:
答案2
它通常很簡單,只需建立一個憑證(自簽名憑證或從供應商購買 SSL 憑證),將郵件伺服器的設定檔指向包含憑證和私鑰的文件,啟用 TLS,然後選擇設定郵件伺服器拒絕不使用TLS/SSL 的登入。
我將 Dovecot 用於 IMAP 和 POP,並且他們的維基上的說明都相當全面。
為了啟用 TLS,我必須新增到 Debian 的預設 Dovecot 配置中:
ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem
答案3
它對於您選擇的郵件伺服器非常具體。但還有一些額外的提示:
連接埠 993 上的 IMAPS 是 SSL,而不是 TLS。不同之處在於 SSL 從一開始就協商加密。而 TLS 在明文頻道之上協商加密。其中一個不一定比另一個更差,但區分他們的行為很重要。 IMAP 更適合前者。
除了保護 IMAP 之外,您還希望保護使用者傳送到伺服器的郵件的安全性。這意味著要對透過 TLS 傳入的中繼(不是本機帳戶)訊息進行限制,此外還應使用 SMTP AUTH 對其進行身份驗證。
最後,您可以選擇使用 TLS 將訊息中繼到其他支援 TLS 的公共伺服器。並非所有人都這樣做。但是,透過啟用該選項,您可以在第一躍點傳輸過程中保護部分出站郵件的安全性。
答案4
我總是推薦優秀的使用 Debian-Etch 和 Postfix 2.3 的 ISP 風格電子郵件伺服器操作指南
它描述如何安裝啟用 SSL/TLS 的郵件伺服器:
- 鴿舍、後綴
- smtp 驗證
- 使用者資料庫
- 虛擬域
- 垃圾郵件過濾器
正如其他人已經說過的,您需要對郵件伺服器間的 smtp 流量進行一些限制,以強制對出站郵件進行加密。
之後,您可能想研究 S/MIME 來解決公司層級的訊息簽署問題。tinyca應該可以幫助您開始創建關鍵基礎架構。
如果您需要加密存儲,您也可以加密硬碟。