对于初学者,任何人都可以推荐一个设置encryption的IMAP服务器(在端口993)或至lessTLS POP3电子邮件的好方法? 有很多机会客户端电子邮件encryption与PGP或FireGPG或Enigmail的例子,但这不是我正在寻找的答案,因为交换密钥对于一些用户来说是复杂的(它需要为所有人使用,而不仅仅是一些)
我基本上想知道如何使用自签名公司证书来设置一个拥有encryption电子邮件的50人公司,以便他们可以与Thunderbird连接,而无需进行任何额外的configuration。
或者,有点像使用Thunderbird连接到Gmail TLS电子邮件时获得的体验。
一个简单的指向正确的方向可能会得到奖励作为答案。
尽pipe你没有提到你的首选操作系统,但是我会和达夫科特一起做。 configuration相对简单。
(提示:/etc/dovecot/dovecot.conf,configuration协议,ssl_cert_file和ssl_key_file)。
您可能已经注意到的一些警告:
不要使用自签名证书。 制作你自己的CA并分发,或者从Comodo或者GoDaddy或者某个人那里find一个便宜的SSL证书。
这不像GPG那样是一个全面的解决scheme。 pops和imaps只能保护电子邮件从您的电子邮件服务器到客户端。 在其他地方,电子邮件将保持清晰的文字 – 在服务器或客户端,在其他人的networking上rest,并打印出来。 这并不是说这是不值得的,但不要假装这是你所需要做的。
这通常与创build证书(自签名证书或从供应商处购买SSL证书)一样简单,将邮件服务器的configuration文件指向包含证书和私钥的文件,启用TLS并可select设置邮件服务器拒绝不使用TLS / SSL的login。
我使用Dovecot进行IMAP和POP,并且他们的维基上的说明是相当全面的。
我必须添加到Debian默认的Dovecotconfiguration才能启用TLS:
ssl_cert_file = /path/to/mail_cert.pem ssl_key_file = /path/to/mail_privatekey.pem 这将是非常具体的邮件服务器的select。 但是有一些额外的指针:
端口993上的IMAPS是SSL,而不是TLS。 不同之处在于SSL从closures中进行encryption。 TLS在明文通道上协商encryption。 一个不一定比另一个差,但是区分他们的行为是很重要的。 IMAP更适合于前者。
除了保护IMAP,您还需要保护用户发送给服务器的邮件。 这意味着放置一个通过TLS传递(而不是本地帐户)消息的限制,另外还应该使用SMTP AUTH进行身份validation。
最后,您可以select使用TLS将消息中继到其他公共服务器,在那里他们支持它。 不是全部。 但通过提供选项,您可以在第一跳传输过程中保护部分出站邮件。
我总是推荐使用Debian-Etch和Postfix 2.3的优秀ISP风格电子邮件服务器
它介绍了如何安装启用了SSL / TLS的邮件服务器:
正如其他人已经表示,你需要对邮件服务器smtpstream量进行一些限制,以强制出站邮件的encryption。
之后,您可能需要查看S / MIME来解决公司级别的消息签名问题。 tinyca应该帮助你开始创build关键的基础设施。
如果你需要encryption存储,你也可以encryption硬盘。