使用自签名 SSL 进行邮件

mailq，我不想持不同意见，但 MTA 之间的 SSL（即您的邮件服务器与其他邮件服务器之间的 SSL）得到了很好的支持和理解。它在端口 25 上顺利运行。当您连接到提供此功能的邮件服务器时，它会在 EHLO 阶段进行宣传：

[madhatta@anni ~]$ telnet www.teaparty.net 25
Trying 193.219.118.100...
Connected to www.teaparty.net.
Escape character is '^]'.
220 : ESMTP you accept terms at http://www.teaparty.net/smtp.html
EHLO me
250-www.teaparty.net Hello 88-111-161-32.dynamic.dsl.as9105.com [88.111.161.32], pleased to meet you
[...]
250-STARTTLS
[...]

然后，愿意使用 TLS 的邮件服务器可以请求升级到加密通信，然后 SMTP 对话的其余部分就可以在加密的掩护下进行。我的 sendmail 日志中将显示对等方证书的签名或未签名状态：

Sep 25 22:42:05 www sendmail[24905]: STARTTLS=server, relay=nagios.teaparty.net [82.26.102.225], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256

在这种情况下，我正在连接到外部服务器（或者它会说STARTTLS=client），并且我无法使用我的证书包来验证对等方的证书（或者它会说verify=YES）。但它是完美的加密，值得一试。

除此之外，我同意您的（其他方面都很出色的）回答。

SSL 仅适用于客户端（Outlook、Thunderbird 等）与服务器之间的连接。并且它会将 IMAP、POP3 和 SMTP 的端口更改为其等效端口。

不支持也不指定在您的 SMTP 服务器和其他 SMTP 服务器之间使用 SSL（除非连接到另一个中继主机）。它们仍将使用端口 25 进行邮件交换（未加密）。

自签名证书总是会“打扰”客户端，因为它们不受信任。您可以通过将公共 CA 密钥插入客户端软件来使它们受信任。

因此它是否有用取决于您要完成的任务。