我的邮件服务器是否必须拥有 SSL 证书？

您想防止别人嗅探您的密码吗？这在 WiFi 上尤其容易。那么使用加密 (SSL)。

您是否在意拥有自签名证书（收到警告）？如果不在意，只需自签名即可。但请注意，有些应用程序（Outlook）不允许您在看到一次警告后忽略该警告。

SSL 的特点是，它在同一协议中整合了加密和身份检查。前者不需要证书，但后者需要。如果您不怀疑有人会将您的登录尝试重定向到另一台服务器，则不需要身份检查：因此请自行签名。即使这样，这也不是一个真正的问题。因为在大多数客户端中，一旦您接受了自己的证书，它就会在证书更改时再次发出警告。

如果你确实想要证书（我喜欢），请使用 Startcom SSL。他们允许你免费获得一个简单的 SSL 证书。

编辑：Startcom 现在不再被推荐，因为他们已经被主流浏览器列入黑名单，原因是其新东家 WoSign 违反了规定。

用于邮件检索 (POP/IMAP) 和管理咨询委员会使用，虽然这不是必需的，但绝对是个好主意。如今，许多人从不可信任的网络访问电子邮件，通常是通过开放 WiFi 网络上的手机访问。让您的用户通过 SSL/TLS 连接是一个好主意。

为了大都会运输署使用，您可能不应该期望 SSL/TLS。原则上这是一个好主意，但很少有 MTA 支持它们之间的 SSL/TLS 连接。（见这个问题了解详情。）这里有多个选项：

• 如果您仅在您的 MTA 上启用 SSL/TLS（未启用则无法进行任何交互），那么您将有效地将自己与许多其他不支持它的 MTA 隔离开来。

• 如果同时启用 SSL/TLS 和纯文本通信：

  • 对于知道您的服务器支持 SSL/TLS 并且只会在安全模式下连接到它的其他 MTA 来说，这很好。这在某些情况下很有用，因为他们希望他们和您之间的连接是安全的，但他们必须明确配置才能这样做。
  • 如果其他 MTA 不知道您支持 SSL/TLS，即使他们投机取巧地尝试 SSL/TLS，当 SSL/TLS 不可用时，他们会退回到纯文本连接，这一事实使他们容易受到主动 MITM 攻击。在这种情况下，使用 SSL/TLS 毫无意义。

  请记住，检查 SSL/TLS 是否被使用（以及是否正确使用，包括证书验证）完全是客户端的责任，即此处的其他 MTA（在降级 MITM 攻击的情况下，服务器端无法采取任何措施，除非还使用客户端证书，但这在 MTA 之间不太可能发生）。

如果您的服务器同时充当 MTA 和 MSA（即，它需要用户的直接连接），我建议同时启用和不启用 SSL/TLS，但告诉您的用户使用 SSL/TLS 选项。

嗯，您没有指定邮件服务器的类型。例如，我有 Microsoft Exchange，据我所知，它可以在没有证书的情况下运行，也可以使用自签名证书运行，当然也可以使用官方证书运行。

当然，用户必须点击安全警告才能注意到差异。