我有一台 Web 服务器,同时也是邮件服务器 - 运行 dovecot 和 exim4。我目前有 5 个开放端口用于提供邮件服务,这对我来说似乎太多了。这是一个专用的盒子,我拥有 root 访问权限 - 最重要的是,我可以控制从盒子接收邮件的每个人 - 因此我可以告诉他们以我喜欢的任何方式配置他们的邮件客户端。
25/tcp open smtp
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
995/tcp open pop3s
问题:
最安全的邮件传送方式是什么?
我可以关闭端口 110 和 143,然后只告诉每个人将他们的客户端设置为在 993 和 995 上接收吗?
从 993/995 发出的邮件是否完全加密,即无法被窃听?
答案1
最安全的邮件传送方式是什么?
我们可以进行整个 PGP / SMIME 讨论,但是 SSL / TLS 确实适合客户端通信。
我可以关闭端口 110 和 143,然后只告诉每个人将他们的客户端设置为在 993 和 995 上接收吗?
是的。我会更进一步,只使用 IMAP/S - POP 不好。
从 993/995 发出的邮件是否完全加密,即无法被窃听?
好吧,您可以将它们配置为在这些端口上不加密。但是,是的,这些监听器应该对所有客户端通信强制执行 SSL/TLS 加密。
请注意,这 4 个都用于与电子邮件客户端通信 - 端口 25,SMTP,具有可选加密,但尚未广泛实施;您的客户端通信可能是隐藏的,但您的中继通信不太可能被隐藏。
答案2
993 和 995 分别是 IMAP-over-SSL 和 POP3-over-SSL 的端口。
实际上可以使用 TLS 来使用 110 和 143,因此是加密的。这在 Dovecot 中很容易启用。事实上,当 Dovecot 谈到“SSL”时,它实际上意味着 SSL 和 TLS,因此如果您ssl = yes的 Dovecot 配置中有,则应该已经启用了 TLS。
如果要禁用纯文本验证,请设置ssl=required和disable_plaintext_auth=yes。
答案3
没错。配置 dovecot 以忽略 pop3 和 imap 而使用 pop3s 和 imaps,这样您就可以阻止人们通过嗅探这些端口来获取密码(和电子邮件内容)。无论如何,您都应该让人们远离 pop,因为它的实现通常非常愚蠢。
您还应该将 exim 配置为不允许在端口 25 连接上进行身份验证(并监听 465 以进行 SSL 加密的 SMTP)并在允许中继消息之前要求进行身份验证。