Использование самозаверяющего SSL для почты

Question

Использование самозаверяющего SSL для почты

Вместо покупки SSL я бы создал сертификат SSL. Конечно, мой SSL-сертификат не будет полезен для браузеров, которые показывают "Ненадежный SSL". Могу ли я использовать Self Signed SSL на своем почтовом сервере для отправки и получения электронной почты? Использует ли самозаверяющий SSL прерывание работы пользователей, говоря "вы используете ненадежный SSL-сертификат"?

Будет ли это полезно?

И я верю, что добавление SSL на почтовый сервер для обмена электронной почтой изменит мои номера портов с 25, 110, 143 на 465, 995, 993. Я прав?

3

ssl-certificate protocols

Источник

Karthik Malla 25 сен '11 в 21:04

2 ответа

Другие вопросы по тегам ssl-certificate protocols

MadHatter 25 сен '11 в 21:52 2011-09-25 21:52 · Answer 1 · 2011-09-25 21:52

Я не хочу отличаться от mailq, но SSL между MTA (то есть между вашим почтовым сервером и другими почтовыми серверами) прекрасно поддерживается и понятен. Он успешно работает на порту 25. Когда вы подключаетесь к почтовому серверу, предлагающему это, он объявляется в фазе EHLO:

[madhatta@anni ~]$ telnet www.teaparty.net 25
Trying 193.219.118.100...
Connected to www.teaparty.net.
Escape character is '^]'.
220 : ESMTP you accept terms at http://www.teaparty.net/smtp.html
EHLO me
250-www.teaparty.net Hello 88-111-161-32.dynamic.dsl.as9105.com [88.111.161.32], pleased to meet you
[...]
250-STARTTLS
[...]

Почтовый сервер, готовый общаться по протоколу TLS, может затем запросить эскалацию к зашифрованному каналу связи, а остальная часть SMTP-разговора может происходить под прикрытием шифрования. Подписанное или неподписанное состояние сертификата однорангового узла отображается в моих журналах sendmail таким образом:

Sep 25 22:42:05 www sendmail[24905]: STARTTLS=server, relay=nagios.teaparty.net [82.26.102.225], version=TLSv1/SSLv3, verify=NO, cipher=DHE-RSA-AES256-SHA, bits=256/256

В этом случае я подключаюсь к стороннему серверу (или он сказал бы STARTTLS=client) и я не могу, используя свой комплект сертификатов, проверить сертификат партнера (или он сказал бы verify=YES). Но это прекрасно звучит крипто, и стоит делать.

Кроме этого я согласен с вашим (в противном случае превосходным) ответом.

mailq 25 сен '11 в 21:43 2011-09-25 21:43 · Answer 2 · 2011-09-25 21:43

SSL полезен только для соединений между клиентами (Outlook, Thunderbird, ...) и сервером. И да, это изменит порты для IMAP, POP3 и SMTP на их эквивалентные порты.

Использование SSL между вашим SMTP-сервером и другими SMTP-серверами не поддерживается и не указано (за исключением другого узла ретрансляции). Они по-прежнему будут использовать порт 25 для обмена почтой (незашифрованный).

Самозаверяющие сертификаты всегда будут "мешать" клиентам, поскольку им не доверяют. Вы можете сделать их доверенными, вставив открытый ключ CA в клиентское программное обеспечение.

Так что, если это полезно, зависит от того, чего вы пытаетесь достичь.