Eu tenho que ter um certificado SSL para o meu servidor de e-mail?

Você quer impedir que as pessoas farejem sua senha? Isto é especialmente fácil em WiFi. Em seguida, use criptografia (SSL).

Você se preocupa em ter um certificado auto-assinado (recebendo um aviso sobre isso)? Se não, apenas auto sinal. Mas cuidado, existem aplicativos (outlook) que não permitem que você ignore esse aviso depois de ter visto uma vez.

A coisa com SSL é que incorpora verificações de criptografia e identidade no mesmo protocolo. Você não precisa de um certificado para o primeiro, mas sim para o segundo. Se você não suspeitar que alguém vai redirecionar suas tentativas de login para outro servidor, você não precisa da verificação de identidade: autoassine. E mesmo assim não é realmente um problema. Porque na maioria dos clientes, uma vez que você aceitou seu próprio certificado, ele irá avisar novamente quando for alterado.

Se você quiser um certificado (eu gosto de tê-lo), use o Startcom SSL. Eles permitem que você tenha um certificado SSL simples de graça.

Edit: Agora, o Startcom não pode mais ser recomendado, porque eles têm sido na lista negra dos principais navegadores , porque o novo proprietário, WoSign, violou as regras.

Para recuperação de e-mail (POP / IMAP) e MSA , embora não seja necessário, é definitivamente uma boa ideia. Hoje em dia, muitas pessoas acessam os e-mails de redes que não são confiáveis, geralmente de um telefone celular em uma rede WiFi aberta. Fazer com que seus usuários se conectem via SSL / TLS seja uma boa ideia.

Para o uso de MTA , você provavelmente não deve esperar SSL / TLS. Seria uma boa ideia, em princípio, mas poucos MTAs suportam conexões SSL / TLS entre si. (Veja esta questão para detalhes.) Existem várias opções aqui:

• Se você habilitar o SSL / TLS somente em seu MTA (sem qualquer possibilidade de interação sem ele habilitado), você efetivamente se livrará de vários outros MTAs que não o suportariam.

• Se você ativar as comunicações SSL / TLS e de texto sem formatação:

  • Não há problemas para outros MTAs que sabem que seu servidor suporta SSL / TLS e só se conectará a ele no modo seguro. Isso pode ser útil em alguns casos em que eles esperam que a conexão entre eles e você precise ser segura, mas eles precisam ser configurados explicitamente para isso.
  • Se os outros MTAs não souberem que você suporta SSL / TLS, mesmo que eles testem SSL / TLS de maneira oportunista, o fato de que eles retornariam a conexões de texto simples quando o SSL / TLS não estiver disponível deixa-os abertos a ataques MITM ativos. Não faz sentido usar o SSL / TLS neste caso.

  Lembre-se de que verificar se o SSL / TLS é usado (e usado corretamente, incluindo verificação de certificado) é responsabilidade exclusiva do cliente, ou seja, do outro MTA aqui (nada pode ser feito no servidor em caso de downgrade de ataques MITM, a menos que os certificados do cliente também sejam usados, o que é improvável entre os MTAs).

Se o seu servidor atua como um MTA e um MSA (ou seja, espera conexões diretas do usuário), sugiro habilitar tanto com e sem SSL / TLS, mas dizer aos seus usuários para usar a opção SSL / TLS.

Bem, você não especifica o tipo de servidor de email. Por exemplo, tenho o Microsoft Exchange que, até onde eu sei, pode ser executado sem um certificado, com um certificado auto-assinado ou, é claro, com um certificado oficial.

O usuário notará a diferença, é claro, de ter que clicar nos avisos de segurança.