我们与一些银行有合作关系,他们正在尝试实施一些安全的电子邮件。是否有任何方法可以强制服务器在向特定域发送电子邮件时通过 TLS 发送电子邮件?这是一个 cpanel/WHM 服务器。
我们基本上需要要求电子邮件从用户->邮件服务器以及从邮件服务器->银行服务器都是安全的。
我不太清楚电子邮件离开我的电子邮件程序后会发生什么。如果我通过 TLS 或 SSL 传出连接发送消息,电子邮件是否也会通过安全连接离开邮件服务器?我可以毫无问题地从客户端到邮件服务器实施 TLS。我不清楚的是它到达邮件服务器之后会发生什么。
任何帮助都将不胜感激。
答案1
其他人可以谈论 cpanel 特定的问题,但我可以谈论 SMTP TLS。
作为 ESMTP 协商过程的一部分,两个邮件程序之间会协商 TLS 连接。大多数邮件程序可以配置为优先使用 TLS 连接而不是普通连接(或者不配置,加密会消耗 CPU 周期),主要的 Linux 邮件程序还能够设置包含 TLS 设置的每个域邮件策略。因此,您可以指定 wellsfargo.com 获得 TLS,但 gmail.com 不获得。如今,邮件程序在通过 TLS 连接收到邮件时,会非常擅长标记Received-By:
邮件头。(TLS)
这将对实际邮件发送者之间传输的邮件进行加密。在发件人和邮件发送者之间加密邮件需要发件人使用加密方法发送,TLS 或 SSL。要求登录才能发送邮件并且只允许通过加密方法登录即可实现此目的。
如果您需要在邮件队列中对邮件进行加密,那么您必须使用 S/MIME 或 PGP/GPG 对邮件本身进行加密。
答案2
检查 Exim 规范中的 TLS/SSL 章节。如果您启用了 TLS,它将用于与广告的服务器的传出连接STARTTLS
。选项中列出的主机将需要 TLS hosts_require_tls
。这应该在 Exim 配置文件的开头设置。
答案3
就我个人而言(以及管理层而言),我不会相信这一点,如果不是因为其他原因,如果出了问题,您可能不会在没有严格监控日志的情况下知道它,而且它不仅取决于您服务器的配置,还取决于所有其他组织的使用情况,您无法控制他们的更新/更改/政策。我宁愿保留更多控制权,并在用户邮件客户端上使用 PGP 来实现。这样,您就可以确保邮件是端到端加密的,即使邮件服务器受到威胁,而不仅仅是在传输通道中。