电子邮件、SSL 和 RFC 6186 SRV 记录

电子邮件、SSL 和 RFC 6186 SRV 记录

我通过外包给另一家提供经销商电子邮件托管服务的公司来为客户提供电子邮件服务。经销商在其文档中有以下声明:

您也可以选择添加RFC 6186DNS 条目。如果添加这些条目,兼容的电子邮件客户端将能够自动配置其主机名和端口设置,这为新用户带来了便利。包括 IMAPS 和 POP3S 记录会导致大多数电子邮件客户端自动对所有电子邮件通信使用 SSL 加密。

我对此感到困惑。这是否意味着我可以通过设置这些 DNS 记录来利用他们的 SSL 证书?我向 DNS 添加了以下类型的记录:SRV _imaps._tcp。这可以解决任何无效证书问题吗?

我希望电子邮件是安全的,但 DNS 设置为经销商的 CNAME 记录 (mail.client.com -> CNAME -> mail.reseller.com)。因此,当您尝试在电子邮件客户端中配置电子邮件时,它会抱怨证书无效(证书与域不匹配,因为它是经销商的)。

有没有办法使用经销商的证书来保护电子邮件安全,而不必自己购买证书?

答案1

SRV 记录无法避免需要具有正确主机名的有效 SSL 证书。

SRV 记录仅在配置期间用于识别正确的邮件服务器。例如,用户输入[电子邮件保护]在他们的电子邮件客户端中。电子邮件客户端请求 _imaps.cpp.client.com 并返回您配置的任何内容。因此,如果您配置了 mail.client.com,那么客户端将返回该内容,并且客户端将使用该内容。因此,您仍然需要一个标有 mail.client.com 的 SSL 证书。

如果您将 SRV 记录设置为 mail.reseller.com,那么电子邮件客户端将使用 mail.reseller.com,并且经销商的证书将正常工作。

相关内容