电子邮件安全思想证书

电子邮件安全思想证书

最近我一直在尝试使用证书来保护邮件端口993/ 995/ 465。指定服务器主机名时,这种方法有效,但在拥有众多用户的共享服务器上,这种方法不可行。

“工作”设置是:

            Protocol    domain/hostname     Port    SSL
Incoming    IMAP        shared.server.tld   993     SSL
Outgoing    SMTP        shared.server.tld   465     SSL

我需要它为 工作mail.domainname。这样客户唯一要做的就是在 Apple Mail/OUTLOOK/Thunderbird 中打开 SSL,或者指定 993/465 端口。

现在,当我指定时,mail.domainname我会得到一个证书不匹配的问题,因为该证书是用于shared.server.tld而不是mail.domainname

如何使用指定的证书来保护 mail.domainname 端口shared.server.tld

我们已经尝试使用srvDNS 记录,并希望通过自动发现来实现这一点。

答案1

获取涉及的每个主机名的带有主题备用名称的证书 - 这些证书通常作为“多域”或“多主机” SSL 证书出售。

主机名和主题名称必须匹配,否则您就无法防止 MITM - 毕竟,如果它们可以不同,那么由根 CA 有效签名的任何证书都可以适用于任何主机。

答案2

更好的方法是,从 Lets Encrypt 获取证书,其中包含您需要的任何域和子域(包括 mail.whatever-- 和 autodiscover.whatever,尽管这不是强制性的)。您必须每 90 天续订一次,但这是免费的,而且无论如何,更频繁地续订更安全,因为您会获得一个新证书。也有自动续订的方法,因此根据您的设置和需求,这可能是值得的。

相关内容