Como configuro um servidor de correio SSL?

2

Para um iniciante, alguém pode recomendar um bom método de configuração de um servidor IMAP criptografado (na porta 993) ou pelo menos de um email TLS POP3? Há muitos exemplos de criptografia de email do lado do cliente oportunista com PGP, FireGPG ou Enigmail, mas essa não é a resposta que estou procurando, pois a troca de chaves é complicada para alguns usuários (e precisa ser usada por todos, não apenas por alguns)

Eu gostaria basicamente de saber como configurar uma empresa de 50 pessoas com email criptografado, usando um certificado de empresa auto-assinado, para que eles possam se conectar com o Thunderbird sem qualquer configuração adicional necessária.

Ou algo parecido com a experiência obtida ao se conectar ao e-mail do Gmail TLS usando o Thunderbird.

Um simples apontamento na direção certa pode ser recompensado como uma resposta.

    
por 3 revs, 2 users 67%anon 15.07.2009 / 01:21

4 respostas

2

Eu faria isso com o Dovecot , embora você não tenha mencionado o seu sistema operacional preferido. A configuração é relativamente simples.

(dica: /etc/dovecot/dovecot.conf, configure os protocolos, ssl_cert_file e ssl_key_file).

Algumas advertências que você já deve saber:

  1. Não use um certificado autoassinado. Faça sua própria CA e distribua isso por aí, ou encontre um certificado SSL barato em Comodo ou GoDaddy ou alguém.

  2. Esta não é uma solução completa como é o GPG. pops e imaps protegem apenas o email em trânsito do seu servidor de email para o cliente. O email permanecerá em texto claro praticamente em qualquer outro lugar - enquanto em repouso no servidor ou cliente, nas redes de outras pessoas, e impresso. Isso não quer dizer que isso não vale a pena, mas não finja que é tudo que você precisa fazer.

por 09.07.2009 / 03:58
1

Geralmente, é tão simples quanto criar um certificado (seja um auto-assinado ou comprar um certificado SSL de um fornecedor), apontando o arquivo de configuração do servidor de e-mail nos arquivos que contêm o certificado e a chave privada, habilitando o TLS e definindo o servidor de email para negar logons que não estão usando TLS / SSL.

Eu uso o Dovecot para IMAP e POP, e as instruções em seu wiki são bastante abrangentes.

Tudo o que eu tinha que adicionar à configuração padrão do Dovecot do Debian para ativar o TLS era:

ssl_cert_file = /path/to/mail_cert.pem
ssl_key_file = /path/to/mail_privatekey.pem
    
por 09.07.2009 / 04:00
1

Vai ser muito específico para o seu servidor de e-mail de sua escolha. Mas alguns ponteiros adicionais:

  • O IMAPS na porta 993 é SSL, em vez de TLS. A diferença é que o SSL negocia a criptografia desde o início. Enquanto o TLS negocia a criptografia em cima de um canal de texto simples. Um não é necessariamente pior que o outro, mas é importante diferenciar seu comportamento. O IMAP é mais adequado ao primeiro.

  • Além de proteger o IMAP, você também deseja proteger os emails enviados pelos usuários ao servidor. Isso significa colocar uma restrição que retransmitida (não para contas locais) mensagens vêm através de TLS e, adicionalmente, eles devem ser autenticados com SMTP AUTH.

  • Por fim, você pode optar por retransmitir mensagens para outros servidores públicos usando o TLS, onde eles o suportam. Nem todos fazem. Mas, ao disponibilizar a opção, você pode proteger uma parte do seu e-mail de saída enquanto ele estiver em trânsito no primeiro salto.

por 09.07.2009 / 13:15
0

Eu sempre recomendo o excelente Servidor de e-mail no estilo ISP com o Debian-Etch e o Postfix 2.3 howto

Descreve como instalar um servidor de email SSL / TLS:

  • dovecot, postfix
  • smtp auth
  • banco de dados do usuário
  • domínios virtuais
  • filtro de spam

Como outros já disseram, você precisa colocar algumas restrições no tráfego smtp entre servidores de correio para reforçar a criptografia de e-mails de saída.

Posteriormente, você pode querer examinar o S / MIME para resolver o problema de assinatura de mensagem no nível da empresa. tinyca deve ajudar você a começar a criar a infra-estrutura principal.

Se você precisar de armazenamento criptografado, também poderá criptografar os discos rígidos.

    
por 09.07.2009 / 13:14