与其购买 SSL,我更愿意创建 SSL 证书。当然,我的 SSL 证书将毫无用处,因为浏览器会显示“不受信任的 SSL”。我可以使用自签名 SSL 来向我的邮件服务器发送和接收电子邮件吗?使用自签名 SSL 是否会中断用户的工作并提示“您正在使用不受信任的 SSL 证书”?
它有用吗?
并且我相信在邮件服务器中添加 SSL 以进行电子邮件交换会将我的端口号从 25、110、143 更改为 465、995、993,对吗?
答案1
mailq,我不想持不同意见,但 MTA 之间的 SSL(即您的邮件服务器与其他邮件服务器之间的 SSL)得到了很好的支持和理解。它在端口 25 上顺利运行。当您连接到提供此功能的邮件服务器时,它会在 EHLO 阶段进行宣传:
[madhatta@anni ~]$ telnet www.teaparty.net 25
Trying 193.219.118.100...
Connected to www.teaparty.net.
Escape character is '^]'.
220 : ESMTP you accept terms at http://www.teaparty.net/smtp.html
EHLO me
250-www.teaparty.net Hello 88-111-161-32.dynamic.dsl.as9105.com [88.111.161.32], pleased to meet you
[...]
250-STARTTLS
[...]
然后,愿意使用 TLS 的邮件服务器可以请求升级到加密通信,然后 SMTP 对话的其余部分就可以在加密的掩护下进行。我的 sendmail 日志中将显示对等方证书的签名或未签名状态:
Sep 25 22:42:05 www sendmail[24905]: STARTTLS=server, relay=nagios.teaparty.net [82.26.102.225], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256
在这种情况下,我正在连接到外部服务器(或者它会说STARTTLS=client),并且我无法使用我的证书包来验证对等方的证书(或者它会说verify=YES)。但它是完美的加密,值得一试。
除此之外,我同意您的(其他方面都很出色的)回答。
答案2
SSL 仅适用于客户端(Outlook、Thunderbird 等)与服务器之间的连接。并且它会将 IMAP、POP3 和 SMTP 的端口更改为其等效端口。
不支持也不指定在您的 SMTP 服务器和其他 SMTP 服务器之间使用 SSL(除非连接到另一个中继主机)。它们仍将使用端口 25 进行邮件交换(未加密)。
自签名证书总是会“打扰”客户端,因为它们不受信任。您可以通过将公共 CA 密钥插入客户端软件来使它们受信任。
因此它是否有用取决于您要完成的任务。