如何使用加密技术为邮件服务器保驾护航?
TLSSSL所需的证书可以是自签名、由免费的认证机构(比如CAcert)签名,或者由商业认证机构(比如VeriSign)签名,可以借助OpenSSL等实用工具来生成。
AD:
安全套接层(SSL)及其后续版本:传输层安全(TLS)是两种应用最广泛的协议,用来对服务器与客户机之间传输的数据进行加密。这些协议常常使用X.509证书和非对称加密方法。
STARTTTLS是另一种确保明文通信安全的方法。这种协议也使用SSL或TLS,对数据进行加密,但是使用与明文协议一样的端口,而不是使用另外的端口用来传输由SSLTLS加密的数据。比如说,基于STARTTLS的IMAP使用与IMAP一样的端口(端口143),而基于SSL的IMAP(IMAPS)使用单独的端口:端口993。
前一个教程(201401mail-server-ubuntu-debian.html)介绍了如何搭建一台在Postfix和Dovecot上运行的邮件服务器,但并没有探讨安全方面。在该教程中,我们将演示如何通过基于的TLSSSL加密技术,为邮件服务器添加安全性。
TLSSSL所需的证书可以是自签名、由免费的认证机构(比如CAcert)签名,或者由商业认证机构(比如VeriSign)签名,可以借助OpenSSL等实用工具来生成。我们准备在该教程中使用自签名证书。
为Postfix登记TLS加密
自签名证书可以用下面这个命令来创建。
# openssl req -new -x509 -days 365 -nodes -out etcsslcertspostfixcert.pem -keyout etcsslprivatepostfixkey.pem
上面这个命令请求一个新的证书,水草玛瑙 mnwg证书类型是X.509,保持365天有效。可选的-nodes参数明确规定了私有密钥不应该加密。输出证书文件作为postfixcert.pem保存起来,输出密钥文件作为postfixkey.pem保存起来。
可以赋予证书的所有必要值:
Country Name (2 letter code) [AU]:BD
State or Province Name (full name) [Some-State]:Dhaka
Locality Name (eg, city) []:Dhaka
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:Example.tst
Common Name (e.g. server FQDN or YOUR name) []:ample.tst
Email Address []:sarmed@example.tst
由于证书已准备就绪,可以调整postfix配置文件中的必要参数:
root@mail:~# vim etcpostfixmain.cf
### STARTTLS已被启用###
smtpd_tls_security_level = may
smtpd_tls_received_header = yes
smtpd_tls_auth_only = yes
### 排查故障时,应该使用loglevel 3 ###
smtpd_tls_loglevel = 1
如何为文件夹加密### 证书和密钥文件的路径 ###
smtpd_tls_cert_file = etcsslcertspostfixcert.pem
smtpd_tls_key_file = etcsslprivatepostfixkey.pem
smtpd_use_tls=yes
重启postfix,以启用TLS。
root@mail:~# service postfix restart
至此,postfix已准备高山茶 eupai对发到和来自服务器的数据进行加密。关于Postfix TLS支持的更多详细信息可以在官方README(TLS_README.html)中到。
为Dovecot启用SSL加密
针对加密配置dovecot的方法与postfix大同小异。
首先,自签名证书用openssl来创建:
# openssl req -new -x509 -days 365 -nodes -out etcsslcertsdovecotcert.pem -keyout etcsslprivatedovecotkey.pem
上面这个命令请求一个新的X.509证书,保持365天有效。-nodes这个可选参数明确规定了存储的私有密钥不应该加密。输出证书文件将是dovecotcert.pem,输出密钥文件将是dovecotkey.pem。
所有的必要参数需要在证书中加以明确指定:
Country Name (2 letter code) [AU]:BD
State or Province Name (full name) [Some-State]:Dhaka
Locality Name (eg, city) []:Dhaka
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:Example.tst
Common Name (e.g. server FQDN or YOUR name) []:ample.tst
Email Address []:sarmed@example.tst
下一步,证书路径添加到dovecot配置中。
root@mail:~# vim f
ssl_cert =
ssl_key =
最后,重启dovecot,以便使用新证书启用SSL。
root@mail:~# service dovecot restart
Thunderbird邮件客户端配置
下面这个屏幕快照显示了如何配置Mozilla Thunderbird中的帐户。
故障排查
首先,确保所有的必要端口在防火墙中已被允许。
其次,试一试通过telnet连接到邮件服务器。你应该能够连上去。下面给出了几个例子,仅供参考。
连接到IMAPS
$ ample.tst 993
Connected ample.tst.
Escape character is '^]'.
Connection closed by foreign host.
连接到POP3S
$ ample.tst 995
Connected ample.tst.
Escape character is '^]'.
Connection closed by foreign host.
连接到SMTP
$ ample.tst 25
Connected ample.tst.
Escape character is '^]'.
ample.tst ESMTP Postfix (Ubuntu)
### 命令 ###
ample.tst
ample.tst
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
原文地址:201401secure-mail-server-using-encryption.html【编辑推荐】新一代硬盘加密技术 扼制“泄密门”发生HTTPS再爆漏洞 企业需升级SSLTLS加密算法最新最好的防御技术:量子加密技术【责任编辑:蓝雨泪 TEL:(010)68476606】
Linux编程技术详解
本书全面介绍了Linux编程相关的知识,内容涵盖Linux基本知识、如何建立Linux开发环境、Linux开发工具、Linux文件系统、文件IO操
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论