当前设置:
1. 我在电子邮件服务提供商公司工作。2
. 我们有多个邮件服务器,在这些服务器上我们使用 qmail 来传递邮件。3
. 每个服务器都为多个客户端托管多个不同的域。4
. 每个服务器都单独工作。5
. 最终用户使用 qmail-pop 服务从服务器获取邮件,使用 qmail-smtp 服务发送邮件。6
. 每个客户端都使用自己的 URL 连接到服务器。
例如Mithi 软件将使用mailxf.mithi.com它指向我们的一个邮件服务器。
要求:
我想为最终用户启用 qmail-pop3s 服务,以便他们可以通过安全通道连接到服务器。
挑战:
据我所知,qmail-pop3s 服务仅接受单个 SSL 证书。因为我们在单个服务器上托管了多个客户端,并且每个客户端都提供自己的证书。我想使用所有这些证书,以便所有客户端都可以访问 POPS 服务。
预期结果:
我们的所有客户端都应该能够使用单独的 URL(SSL 证书中的 CN)通过安全通道访问 qmail-pop3s 服务。
答案1
你正在寻找的是Server Name Indication,定义在rfc3546 section 3.1。
我不认为 qmail 支持 SNI。但是,如果它是针对适当的 TLS 库进行编译的,它可能支持。邮件客户端也必须支持 SNI。我不知道有哪个客户端支持 SNI,但我之前没有研究过这个。
如果所有名称都应为您的域的子域,则使用通配符证书将有效。即,,,mail-company1.example.com等。mail-company2.example.comsntp-company1.example.com
答案2
不要以为这是完全有可能的。在这种情况下,邮件服务器或 pop3d 无法真正提前知道用户正在连接到哪个特定域,从而为该单次通信选择适当的证书。
由于不可能使用单个证书,一个想法是为每个客户端设置多个 pop3d 实例,每个实例监听不同的端口(995,996 等),以便每个实例都可以分配有自己的 SSL 证书。