我运行带有 STARTTLS 支持的 Courier IMAP。目前,IMAP_TLS_REQUIRED设置为 0 (false),这意味着完全允许客户端在不安全的通道上使用明文登录。将其设置为 1(true)不是一个选项,因为它会破坏 SquirrelMail(无法使用 STARTTLS);然而,我知道只有某些 IP 地址才能合法地使用未加密的传输。
在最简单的情况下,理论上应该可以允许来自 127.0.0.1 的连接而不加密,同时要求在对所有其他连接进行身份验证之前使用 STARTTLS。然而,我一直无法做到这一点。另外,如果我想要更复杂的东西怎么办 - 也许 203.0.113.147 上有一个 Web 服务器与 203.0.113.148 上的 IMAP 服务器通信,中间有一个安全 LAN。 (暂时忽略证明 LAN 确实安全的挑战。)有没有办法IMAP_TLS_REQUIRED为不同的连接进行不同的设置?
答案1
我认为没有办法设置IMAP_TLS_REQUIRED为 true 并使用不支持的客户端STARTTLS。
但是,如果您完全控制网络,您还有其他可能性。对于 SquirrelMail 连接,您可以为每个 IP 地址使用一条防火墙规则,这样至少只有那些人可以在没有 TLS 的情况下连接到该服务。如果网络上仍存在中间人攻击的可能性,这并不会真正使其变得更安全。
但是,这并不强制其他用户(例如 Thunderbird 用户)使用加密。所以它并不那么安全。
另一种方法是在两个不同的端口上运行两个 courier 实例。您可以为非安全端口选择不同的端口(它不会真正向黑客隐藏它,黑客总是可以检查您所有开放的端口)。这样,具有加密功能的版本就可以使用该IMAP_TLS_REQUIRED标志,并且至少这些用户永远不会最终不使用加密。
综上所述,看起来 TLS v1.2 不起作用(至少在 Ubuntu 18.04 上),因此 courier 可能必须更改为其他内容......