对于初学者,任何人都可以推荐一种设置加密 IMAP 服务器(在端口 993 上)或至少 TLS POP3 电子邮件的好方法吗?有很多使用 PGP 或 FireGPG 或 Enigmail 进行机会性客户端电子邮件加密的示例,但这不是我要寻找的答案,因为交换密钥对某些用户来说很复杂(而且它需要每个人都可以使用,而不仅仅是某些用户)
我基本上想知道如何使用自签名的公司证书建立一个 50 人的公司,使用加密的电子邮件,这样他们就可以连接到 Thunderbird,而无需任何额外的配置。
或者,有点类似于使用 Thunderbird 连接到 Gmail TLS 电子邮件时所获得的体验。
一个简单的指向正确的方向可能会得到回报作为答案。
我会用Dovecot做这个,虽然你没有提到你喜欢的操作系统。配置相对简单。
(提示:/etc/dovecot/dovecot.conf,配置协议、ssl_cert_file 和 ssl_key_file)。
您可能已经知道的几个警告:
不要使用自签名证书。制作你自己的 CA并分发它,或者从Comodo或 GoDaddy 或其他人那里找到一个便宜的 SSL 证书。
这不是像 GPG 那样的成熟解决方案。pops 和 imaps 仅保护从您的电子邮件服务器传输到客户端的电子邮件。电子邮件几乎在其他任何地方都将以明文形式保留——而在服务器或客户端上,在其他人的网络上,并被打印出来。这并不是说这不值得,但不要假装这是你需要做的。
它通常就像创建证书(自签名证书或从供应商处购买 SSL 证书)一样简单,将邮件服务器的配置文件指向包含证书和私钥的文件,启用 TLS,并可选择设置邮件服务器拒绝不使用 TLS/SSL 的登录。
我将 Dovecot 用于 IMAP 和 POP,他们 wiki上的说明相当全面。
我必须添加到 Debian 的默认 Dovecot 配置以启用 TLS 是:
它将非常特定于您选择的邮件服务器。但是还有一些额外的指示:
端口 993 上的 IMAPS 是 SSL,而不是 TLS。不同之处在于 SSL 从一开始就协商加密。而 TLS 在明文通道之上协商加密。一个不一定比另一个差,但区分他们的行为很重要。IMAP 更适合前者。
除了保护 IMAP 之外,您还希望保护用户发送到服务器的邮件。这意味着限制中继(而不是本地帐户)消息通过 TLS 进入,另外它们应该使用 SMTP AUTH 进行身份验证。
最后,您可以选择使用 TLS 将消息中继到其他公共服务器,它们支持它。并非所有人都这样做。但是,通过使该选项可用,您可以在第一跳传输过程中保护一部分出站邮件。
我总是推荐带有 Debian-Etch 和 Postfix 2.3 howto 的优秀 ISP 风格的电子邮件服务器
它描述了如何安装启用 SSL/TLS 的邮件服务器:
正如其他人已经说过的那样,您需要对内部邮件服务器 smtp 流量进行一些限制,以强制对出站邮件进行加密。
之后,您可能希望研究 S/MIME 以解决公司级别的消息签名问题。
tinyca应该可以帮助您开始创建关键基础架构。如果您需要加密存储,您也可以加密硬盘。