如何使用加密技术为邮件服务器保驾护航?TLSSSL所需的证书可以是||签名、由免费的认证机构(比如CAceH)签名,或者由商业认证机构 (比如VeriSign)签名,可以借助OpenSSL等实用工具来生成AD:女全套接层(SSL)及其后续版木:传输层女全(TLS)是两种应用最广泛的I办议,用來对服务器与 客户机之间传输的数据进行加密这些协议常常使用X.509证书和非对称加密方法STARTTTLS是另一种确保明文通信女全的方法这种协议也使用SSL或TLS,对数据进行加 密,但是使用与明文协议一样的端口,而不是使用另外的端口用来传输由SSETLS加密的数据 比如说,基于STARTTLS的IMAP使用与IMAP —样的端口(端口 143),而基于SSL的 IMAP(IMAPS)使用单独的端口:端口 993前一个教程(201401 mail-server-ubuntu-debian.html)介绍 了 如何搭建一台在 Postfix 和 Dovecot 上运 行的邮件服务器,但并没有探讨安全方面在该教程中,我们将演示如何通过基于的TLSSSL 加密技术,为邮件服务器添加安全性TLSSSL所需的证书可以是自签名、由免费的认证机构(比如CAcert)签名,或者由商业认证机构 (比如VeriSign)签名,可以借助OpenSSL等实川工具来生成。
我们准备在该教程中使川自签名 证书为Postfix登记TLS加密自签名证书可以用下面这个命令来创建 openssl req -new -x509 -days 365 -nodes -out etcsslcertspostfixcert.pem -keyout ctcsslprivatcpostfixkcy.pcm上而这个命令请求一个新的证书,水草玛瑙mnwg. net证书类型是X.509,保持365天有效可 选的-nodes参数明确规定了私有密钥不应该加密输岀证书文件作为postfixcert.pem保存起来, 输出密钥文件作为postfixkey.pem保存起来可以赋予证书的所有必要值:Country Name (2 letter code) [AU]:BDState or Province Name (full name) [Some-State]:DhakaLocality Name (eg, city) []:DhakaOrganization Name (eg, company) [Internet Widgits Pty Ltd]:Organizational Unit Name (eg, section) []:Example.tstCommon Name (e.g. server FQDN or YOUR name) []:mail・example.tstEmail Address []:sarmed@example.tst由于证书已准备就绪,可以调整postfix配置文件中的必要参数:root@mail># vim etcpostfixmain.cf### STARTTLS 已被启用### smtpd_tls_security_level = may smtpd_tl s_recei ved_header = yes smtpd_tls_auth_only = yes###排查故障时,应该使用loglevel 3 ### smtpd_tls_loglevel = 1###证书和密钥文件的路径###smtpd」ls_cert_file = etcsslcertspostfixcert.pem smtpd_tls_kcy_filc = ctcsslprivatcpostfixkcy.pcm smtpd_use_tls=yes重启postfix,以启用TLS。
root@mail:-# service postfix restart至此postfix已准备i&j山茶eupai. net对发到和來门服务器的数据进行加密关T PostfixTLS支持的更多详细信息町以在官方READMEfTLS_README.html)中找到为Dovecot启用SSL加密针対加密配置dovecot的方法与postfix大同小异首先,自签名证书用openssl来创建:# openssl req -new ・ x509 -days 365 odes -out etcsslcertsdovecotcert.pem -keyout etcsslprivatedovecotkey.pem上而这个命令请求一个新的X.509证书,保持365 X有效modes这个可选参数明确规定了存 储的私有密钥不应该加密输出证书文件将是dovecotcert.pem ,输出密钥文件将是 dovecotkey. penio所有的必要参数需要在证书中加以明确指定:Country Name (2 letter code) [AU]:BDState or Province Name (full name) [Some-State]:DhakaLocality Name (eg, city) []:DhakaOrganization Name (eg, company) [Internet Widgits Pty Ltd J:Organizational Unit Name (eg, section) []:Example.tstCommon Name (e.g. server FQDN or YOUR name) []:mail.example.tstEmail Address []:sarmed @cxamplc.tst下一步,证书路径添加到dovecot配宜中。
root@mail:~# vim etcdovecotconf.d 10-ssl.confssl_ccrt =ssl_key =最后,重启dovecot,以便使用新证书启用SSLroot@mail:〜# service dovecot restartThunderbird邮件客户端配置F面这个屏幕快照显示了如何配置Mozilla Thunderbird中的帐户故障排查首先,确保所有的必要端口在防火墙中已被允许其次,试一试通过telnet连接到邮件服务器你应该能够连上去下而给出了儿个例子,仅供 参考连接到IMAPS$ telnet mail.example.tst 993Trying mail.example.tst…Connected to mail.cxamplc.tst.Escape character is,A]r・Connection closed by foreign host・连接到POP3S$ telnet mail.example.tst 995Trying mail.example.tst...Connected to mail.example.tst.Escape character is ‘人]・Connection closed by foreign host.连接到SMTP$ telnet mail.cxamplc.tst 25Trying mail.cxamplc.tst...Connected to mail.example.tst.Escape character is A]\220 mail.example.tst ESMTP Postfix (Ubuntu)###命令###ehlo mail.example.tst250-mail.example.tst250-PIPELINING250-SIZE 10240000250-VRFY250-ETRN250-STARTTLS250-ENHANCEDSTATUSCODES250-8BITMIME250 DSN原文地址:201401 secure-mail-server-using-encryption.html【编辑推荐】新一代硬盘加密技术扼 制“泄密门”发生HTTPS再爆漏洞企业需升级SSLTLS加密算法最新戢好的防御技术:量了 加密技术【责任编辑:蓝雨泪TEL: (010) 68476606]Linux编程技术详解木书全而介绍了 Linux编程相关的知识,内容涵盖Linux基木知识、如何建立Linux开发环境、Linux开发工具、Linux文件系统、文件10操。