对于初学者,有人可以推荐一种设置加密 IMAP 服务器(在端口 993 上)或至少 TLS POP3 电子邮件的好方法吗?有很多使用 PGP 或 FireGPG 或 Enigmail 进行机会性客户端电子邮件加密的例子,但这不是我想要的答案,因为交换密钥对某些用户来说很复杂(并且它需要每个人都可以使用,而不仅仅是某些人)
我基本上想知道如何使用自签名公司证书为一家拥有 50 名员工的公司设置加密电子邮件,以便他们无需任何额外配置即可连接 Thunderbird。
或者,有点像使用 Thunderbird 连接 Gmail TLS 电子邮件时获得的体验。
简单指出正确的方向就可能得到奖励作为答案。
答案1
我会这样做多夫科特,尽管您没有提到您喜欢的操作系统。配置相对简单。
(提示:/etc/dovecot/dovecot.conf,配置协议、ssl_cert_file 和 ssl_key_file)。
您可能已经知道以下几点注意事项:
答案2
它通常很简单,只需创建一个证书(自签名证书或从供应商处购买 SSL 证书)、将邮件服务器的配置文件指向包含证书和私钥的文件、启用 TLS,以及选择将邮件服务器设置为拒绝未使用 TLS/SSL 的登录。
我使用 Dovecot 进行 IMAP 和 POP,并且维基百科上的说明相当全面。
为了启用 TLS,我只需在 Debian 的默认 Dovecot 配置中添加以下内容:
ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem
答案3
它将非常具体地针对您选择的邮件服务器。但还有几点额外的提示:
端口 993 上的 IMAPS 是 SSL,而不是 TLS。区别在于 SSL 从一开始就协商加密。而 TLS 在纯文本通道之上协商加密。两者并不一定比前者差,但区分它们的行为很重要。IMAP 更适合前者。
除了保护 IMAP 之外,您还需要保护用户发送到服务器的邮件。这意味着限制通过 TLS 中继(而不是本地帐户)的消息,此外还应使用 SMTP AUTH 对它们进行身份验证。
最后,您可以选择使用 TLS 将消息转发到支持该功能的其他公共服务器。并非所有服务器都支持该功能。但是,通过启用该选项,您可以在第一跳传输过程中保护部分出站邮件的安全。
答案4
我总是推荐优秀的使用 Debian-Etch 和 Postfix 2.3 构建 ISP 风格的电子邮件服务器
它描述了如何安装启用 SSL/TLS 的邮件服务器:
- 鸽舍,后缀
- smtp 认证
- 用户数据库
- 虚拟域
- 垃圾邮件过滤器
正如其他人所说,您需要对邮件服务器之间的 smtp 流量进行一些限制,以强制对出站邮件进行加密。
之后,您可能需要研究 S/MIME 来解决公司级别的消息签名问题。tinyca应该可以帮助您开始创建关键基础设施。
如果您需要加密存储,您也可以加密硬盘。