我已经设置了我个人的自托管邮件服务器。我使用 Postfix、Dovecot 和 rspamd。我的问题是关于密码套件的,这个主题更多的是讨论而不是寻求具体的答案。我已经将我的所有服务连接设置为使用 SSL 和 AES 128 位密码套件以及 TLS 1.2> 协议。对于 WEB、SSH,我没有问题,因为连接的客户端将使用最新的浏览器,对客户端进行编程以获取他们需要的资源。问题是邮件。据我所知,许多邮件服务器仍然有旧软件,它们可能不支持 TLS 1.2 和 AES 128 位密码套件,这可能会导致邮件丢失。我目前已将 Posfix 设置为使用 AES128+EECDH、AES128+EDH 套件。我已经测试了来自主要邮件提供商(如 Gmail、Outlook、Yahoo)和一堆本地服务和一些我可以访问的私人服务器的邮件传递和接收 - 到目前为止一切顺利。我可以正常发送和接收邮件。
您对此有何经验?我是否对此太过分了,或者这些密码套件是否没问题?
答案1
请记住,SMTP 本身并不是一个安全的协议,即使“最后一跳”MTA 和您自己的邮件服务器之间的联系是通过最新的协议建立的,您也不要期望只有发件人和收件人知道邮件的内容。
发送邮件的安全方式是加密您要传输的信息并将其作为附件添加到电子邮件中。
解决了这个问题:通过在邮件服务器上的各种侦听器上启用 TLS,你当然可以允许更多的安全传输邮件,但最重要的是,在登录托管在服务器上的邮件帐户时,也允许安全传输凭据。对于 SMTP,如果您使能够最新的协议,但允许旧协议也是如此,但是正常的邮件传输代理将使用可用的最新安全协议,而过时的 MTA 不会失去向您发送邮件的能力。
这意味着您的 SMTP 侦听器可能应该使用may后缀配置中的子句,并接受尽可能广泛的连接,这样您就不会在途中无意中丢失邮件。
另一方面,当涉及到您的邮件客户端协议(可能是 IMAP)和可能的网络邮件 HTTPS 侦听器的安全性时,您几乎可以肯定地决定不接受严重过时的客户端,而且您的客户端安全性会更好。