Usando SSL autoassinado para correio

Navegue suas respostas
3

Em vez de comprar SSL, eu criaria um certificado SSL. É claro que meu certificado SSL não será útil se os navegadores mostrarem "SSL não confiável". Posso usar o SSL com Autenticação no meu servidor de e-mail para enviar e receber e-mails? Ao usar o SSL autônomo, interrompa o trabalho dos usuários dizendo "você está usando um certificado SSL não confiável"?

Será útil?

E eu acredito que adicionar SSL ao servidor de e-mail para troca de e-mail irá alterar meus números de porta de 25, 110, 143 para 465, 995, 993 Estou certo?

    
por Karthik Malla 25.09.2011 / 23:04

2 respostas

2

Eu odeio diferir, mailq, mas SSL entre MTAs (isto é, entre seu servidor de e-mail e outros servidores de e-mail) é perfeitamente suportado e bem compreendido. Ele roda alegremente na porta 25. Quando você se conecta a um servidor de correio que oferece isso, ele é anunciado na fase EHLO: 

[madhatta@anni ~]$ telnet www.teaparty.net 25
Trying 193.219.118.100...
Connected to www.teaparty.net.
Escape character is '^]'.
220 : ESMTP you accept terms at http://www.teaparty.net/smtp.html
EHLO me
250-www.teaparty.net Hello 88-111-161-32.dynamic.dsl.as9105.com [88.111.161.32], pleased to meet you
[...]
250-STARTTLS
[...]

Um servidor de e-mail que esteja disposto a conversar com o TLS pode solicitar o escalonamento para a comunicação criptografada, e o restante da conversa do SMTP pode ocorrer sob a criptografia. O estado assinado ou não assinado do certificado de um par aparece nos meus logs do sendmail assim: 

Sep 25 22:42:05 www sendmail[24905]: STARTTLS=server, relay=nagios.teaparty.net [82.26.102.225], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256

Neste caso, estou me conectando ao servidor externo (ou diria STARTTLS=client ) e não consigo, usando meu pacote de certificados, verificar o certificado do mesmo (ou diria verify=YES ). Mas é uma criptografia perfeitamente boa e vale a pena ser feita.

Além disso, concordo com a sua (excelente resposta).

    
por 25.09.2011 / 23:52
1

O SSL é útil apenas para conexões entre clientes (Outlook, Thunderbird, ...) e o servidor. E sim, isso mudará as portas para IMAP, POP3 e SMTP para suas portas equivalentes.

O uso de SSL entre o servidor SMTP e outros servidores SMTP não é suportado nem especificado (exceto para outro host de retransmissão). Eles ainda usarão a porta 25 para troca de mensagens (não criptografada).

Os certificados autoassinados sempre "atrapalharão" os clientes, pois eles não são confiáveis. Você pode torná-los confiáveis inserindo a chave pública da CA no software do cliente.

Então, se for útil, depende do que você está tentando realizar.

    
por 25.09.2011 / 23:43

Tags

Redirecionamento condicional 301 dependendo do servidor (localhost vs produção) No ip_conntrack, conexões TCP estabelecidas, mas “presas”, com um enorme tempo de vida