问题很简单。如果我想设置邮件服务器,我必须拥有它吗?还是这只是一个安全问题?它会引起什么样的问题?
答案1
您想防止别人嗅探您的密码吗?这在 WiFi 上尤其容易。那么使用加密 (SSL)。
您是否在意拥有自签名证书(收到警告)?如果不在意,只需自签名即可。但请注意,有些应用程序(Outlook)不允许您在看到一次警告后忽略该警告。
SSL 的特点是,它在同一协议中整合了加密和身份检查。前者不需要证书,但后者需要。如果您不怀疑有人会将您的登录尝试重定向到另一台服务器,则不需要身份检查:因此请自行签名。即使这样,这也不是一个真正的问题。因为在大多数客户端中,一旦您接受了自己的证书,它就会在证书更改时再次发出警告。
如果你确实想要证书(我喜欢),请使用 Startcom SSL。他们允许你免费获得一个简单的 SSL 证书。
编辑:Startcom 现在不再被推荐,因为他们已经被主流浏览器列入黑名单,原因是其新东家 WoSign 违反了规定。
答案2
用于邮件检索 (POP/IMAP) 和管理咨询委员会使用,虽然这不是必需的,但绝对是个好主意。如今,许多人从不可信任的网络访问电子邮件,通常是通过开放 WiFi 网络上的手机访问。让您的用户通过 SSL/TLS 连接是一个好主意。
为了大都会运输署使用,您可能不应该期望 SSL/TLS。原则上这是一个好主意,但很少有 MTA 支持它们之间的 SSL/TLS 连接。(见这个问题了解详情。)这里有多个选项:
如果您仅在您的 MTA 上启用 SSL/TLS(未启用则无法进行任何交互),那么您将有效地将自己与许多其他不支持它的 MTA 隔离开来。
如果同时启用 SSL/TLS 和纯文本通信:
- 对于知道您的服务器支持 SSL/TLS 并且只会在安全模式下连接到它的其他 MTA 来说,这很好。这在某些情况下很有用,因为他们希望他们和您之间的连接是安全的,但他们必须明确配置才能这样做。
- 如果其他 MTA 不知道您支持 SSL/TLS,即使他们投机取巧地尝试 SSL/TLS,当 SSL/TLS 不可用时,他们会退回到纯文本连接,这一事实使他们容易受到主动 MITM 攻击。在这种情况下,使用 SSL/TLS 毫无意义。
请记住,检查 SSL/TLS 是否被使用(以及是否正确使用,包括证书验证)完全是客户端的责任,即此处的其他 MTA(在降级 MITM 攻击的情况下,服务器端无法采取任何措施,除非还使用客户端证书,但这在 MTA 之间不太可能发生)。
如果您的服务器同时充当 MTA 和 MSA(即,它需要用户的直接连接),我建议同时启用和不启用 SSL/TLS,但告诉您的用户使用 SSL/TLS 选项。
答案3
嗯,您没有指定邮件服务器的类型。例如,我有 Microsoft Exchange,据我所知,它可以在没有证书的情况下运行,也可以使用自签名证书运行,当然也可以使用官方证书运行。
当然,用户必须点击安全警告才能注意到差异。