Требовать ssl для входящей почты что это
Для чего необходим TLS/SSL сертификат при рассылке писем, влияет ли он на доставляемость писем?
У меня несколько вопросов, на которые ищу ответ.
1. Для чего необходим TLS/SSL сертификат при рассылке писем?
3. Влияет ли он на доставляемость писем?
4. Стоит Exim, пользуюсь PHP mailer(последняя версия). Необходимо ли дополнительно указывать на сертификат в настройках PHP mailer, или же он подгружается из настроек exim?
Для чего необходим TLS/SSL сертификат при рассылке писем?
3. Влияет ли он на доставляемость писем?
Подскажите пожалуйста, в чём тогда различия между методами:
180-185 строка: можно выбрать: mail/sendmail/smtp.
где можно почитать о том, как это сделать?
В статьях по настройкам Outlook и Thunderbird. Это не потоковая настройка, а юзерская. Админ настраивает использование сертфииката и ставит его. Юзер создает новое письмо и при отправке клиент подписывает его сертификатом. Подпись гарантирует его неизменность (то, что в текст не внесли изменений), но не гарантирует что не прочитают.
Настройка почтовых клиентов
Общие настройки для всех почтовых клиентов
При создании учётной записи в любом почтовом клиенте используйте следующие настройки:
Настройки нешифрованного соединения
Сервер входящей почты: mail.hosting.reg.ru:
Сервер исходящей почты: mail.hosting.reg.ru:
Настройки шифрованного SSL/TLS соединения
Сервер входящей почты: mail.hosting.reg.ru:
Сервер исходящей почты: mail.hosting.reg.ru:
Что такое POP3, IMAP и SMTP-серверы
POP3 — протокол для приема сообщений электронной почты (входящая почта). При просмотре почты с использованием протокола POP3 все электронные письма скачиваются пользователю на компьютер и автоматически удаляются с сервера (хотя это можно отключить). Все дальнейшие действия с письмами будут производиться именно на компьютере пользователя. Протокол POP3 предпочтителен, если почтовым ящиком пользуется один человек и доступ к почте необходим даже при отсутствии подключения к интернету.
IMAP — протокол, поддерживающий прием и возможность управления электронной почтой прямо на почтовом сервере (входящая почта). При использовании протокола IMAP электронные письма всегда находятся на сервере и скачиваются оттуда каждый раз при просмотре. Это очень удобно, когда доступ к почтовому ящику должны иметь несколько человек — все операции с письмами, которые произведет один из них (изменение статуса письма на «прочитанное», перемещение писем между папками и т. п.) увидят и все остальные. Недостаток — для работы с почтой, даже со старыми письмами, необходимо активное подключение к интернету.
SMTP-сервер — это почтовый сервер, поддерживающий только отправку электронной почты (исходящая почта). При использовании SMTP-сервера используется порт 25. Некоторые интернет-провайдеры блокируют порт 25. В этом случае вам нужно либо обратиться к администратору сети, чтобы он разблокировал порт, либо использовать альтернативный порт 587.
Как настроить почту в различных почтовых клиентах
Программа Mozilla Thunderbird — бесплатный почтовый клиент от Mozilla, с помощью которого можно легко и удобно управлять электронными почтовыми ящиками. Thunderbird является кроссплатформенным и доступен для установки на Windows, Linux и MacOS. У него встроенный спам-фильтр, благодаря которому можно тонко настроить прием входящей корреспонденции, а также удобная многофункциональная книга контактов.
С помощью Mozilla Thunderbird вы также можете перенести почту с одной услуги хостинга на другую: Как перенести почту с помощью Thunderbird?
Параметры настройки:
Для нешифрованного соединения с сервером используются порты:
Для шифрованного SSL/TLS соединения с сервером используются порты:
Важно: Настройка шифрованного соединения доступна только на Linux-хостинге. Чтобы настроить шифрованное соединение как сервер входящей почты и сервер исходящей почты, необходимо указывать mail.hosting.reg.ru.
Как настроить почту Mozilla Thunderbird:
Откройте меню почтового клиента, в правом верхнем углу выберите Создать:
Выберите Настроить мою учётную запись почты…:
Введите ваше имя и фамилию, полный адрес почтового ящика и пароль. Нажмите Продолжить:
Нажмите кнопку Настроить вручную:
Выставьте настройки в соответствии со скриншотом. Нажмите Готово:
Готово, вы настроили почтовый клиент.
Для нешифрованного соединения с сервером используются порты:
Для шифрованного SSL/TLS соединения с сервером используются порты:
Важно: настройка шифрованного соединения доступна только на Linux-хостинге. Для настройки шифрованного соединения в качестве сервера входящей и исходящей почты необходимо указывать: mail.hosting.reg.ru.
Перейдите во вкладку Ящик ― Новый почтовый ящик…:
Введите ваше имя и фамилию, адрес почтового ящика и пароль от него. Нажмите Далее:
Нажмите Далее:
Поставьте галочку Мой сервер SMTP требует аутентификации. Нажмите Далее:
Нажмите Готово:
Готово, вы настроили почтовый клиент.
Введите ваш электронный адрес. Нажмите на Дополнительные параметры и поставите галочку напротив пункта Настроить учетную запись вручную. Нажмите Подключить:
Выберите протокол POP или IMAP:
Введите пароль. Нажмите Подключить:
Нажмите Далее:
Готово, настройка почты завершена.
Во всплывающем окне выберите пункт Другая учетная запись Почты… и нажмите Продолжить:
Введите ваше имя и фамилию, адрес почтового ящика и пароль. Нажмите Войти:
Нажмите Войти:
Готово, вы настроили почтовый клиент.
Запустите приложение Email и введите имя и пароль вашего почтового ящика. Нажмите Далее:
Выберите тип аккаунта POP3 или IMAP:
Если вы выбрали POP3, выставьте следующие настройки и нажмите Далее:
Если вы выбрали IMAP, выставьте следующие настройки и нажмите Далее:
Нажмите Далее:
Готово, вы настроили почтовый клиент.
Перейдите в раздел Настройки — Пароли и учётные записи.
Нажмите Новая учетная запись:
Выберите в списке почтовых служб категорию Другое:
В пункте «Почта» нажмите Новая учетная запись:
Нажмите Далее:
Во вкладке IMAP заполните поля:
После заполнения всех полей нажмите кнопку Далее и закончите настройку почты:
Готово, настройка почты завершена.
В Windows 10 можно добавить почтовый ящик через приложение «Почта». Для этого:
Выберите блок Расширенная настройка:
Выберите тип учётной записи Почта в интернете:
Укажите адрес электронной почты, имя пользователя и пароль от почтового ящика. В качестве сервера входящей почты укажите mail.hosting.reg.ru:
Выберите протокол, по которому будет работать входящая почта. В качестве сервера исходящей почты укажите mail.hosting.reg.ru. По необходимости отметьте галочками пункты:
Затем нажмите Вход:
После успешной настройки появится уведомление. Чтобы начать работу с почтовым ящиком, нажмите Готово:
Готово, вы добавили почтовый ящик в приложении «Почта».
Про порты и шифрование в почтовых серверах
При настройке сервера исходящей почты на почтовом клиенте вы видите 3 опции для шифрования — без шифрования, SMTPS и STARTTLS, а также 3 возможных порта — 25, 465, 587. Что тут выбрать и для чего — давайте разбираться.
Previous DNS записи для почтовых серверов
Когда вы отправляете кому-то сообщение, ваш почтовый клиент использует протокол ESMTP для передачи этого сообщения, а затем ваш почтовый сервер использует тот же протокол, если ему нужно передать это сообщение на другой сервер. И хотя все говорят и пишут SMTP, речь обычно идёт про ESMTP – тот же самый SMTP, но с набором расширений, таких как авторизация и шифрование. Да, когда-то SMTP не поддерживал даже авторизацию.
Теперь немного про SMTPS. Когда-то интернет был настолько простым, что всё в нем передавалось в открытом виде. Потом появились криптографические протоколы шифрования, тот же самый SSL. И сервисы, которые раньше передавали информацию в открытом виде, начали заворачивать трафик в SSL.
Но сделать это на тех же стандартных портах оказалось непросто – клиент и сервер должны договориться о методе шифрования, а чтобы сервис на одном порту одновременно работал для одних с шифрованием, а для других без – требовало бы изменений в протоколах. И чтобы не усложнять всё, начали лепить отдельные порты для шифрованных соединений – так появился 443 для HTTPS и 465 для SMTPS. Но тут спохватились – выделенных портов мало, количество сервисов растёт, а если еще каждый для своих целей будет использовать по несколько портов с шифрованием и без – беда.
И в итоге решили немного доработать протоколы. В некоторых случаях это не очень получилось, например для HTTP, а в случае с SMTP получился вполне себе годный вариант. Для этого в SMTP добавили расширение STARTTLS. Вообще, расширение STARTTLS используется не только для SMTP, в целом это команда для начала переговоров о шифровании. В отличие от SMTPS, который использует выделенный порт 465 и сразу шифрует соединение, STARTTLS лишь расширение для SMTP, а значит сессия инициируется как обычная SMTP сессия. Почтовые сервера приветствуют друг друга, а потом предлагают начать шифроваться и выбирают доступные криптографические протоколы.
В итоге с появлением STARTTLS из стандартов решили убрать SMTPS на 465 порту как отдельный сервис. Из стандартов убрали, но сервис остался, и до сих пор используется. Насчёт шифрования я еще сделаю отдельную тему, а пока поговорим про STARTTLS.
Ранее я сказал, что при STARTTLS почтовые сервера или клиент/сервер открывают соединение без шифрования, а потом договариваются о шифровании. Для шифрования они используют тот же самый SSL/TLS. Но что, если они не смогут договориться? Получится, они будут общаться в незашифрованном виде? По интернету? А между тем, договариваются они без какого-либо шифрования, тем самым легко обмануть сервер или клиент отсутствием доступных методов шифрования. И в своё время уличили одного из провайдеров в такой атаке. И нафиг тогда такое шифрование нужно, спросите вы. Не всё так безнадёжно. На самом деле, администратор может отключить возможность передачи почты, если не удалось договориться о шифровании, а почтовые клиенты обязаны предупреждать о том, что сервер не поддерживает шифрования.
И так, мы разобрались с тем, что есть SMTP, который работает по 25 порту, есть SMTPS, который работает по 465, но есть еще один порт – 587, который также используется почтовым сервером.
Как вы заметили, почтовые клиенты подключаются к серверам по SMTP. И почтовые сервера подключаются друг к другу тоже по SMTP. Также я говорил в прошлой части, что есть такие сервера – релей хосты, которые пересылают почту. По определённым причинам, в основном человеческим, в интернете есть релей хосты, которые позволяют неавторизованным пользователям перенаправлять сообщения с любого адреса. И эти хосты появляются каждый раз, когда нерадивый админ поднимает почтовый сервер, а это бывает нередко. Как итог, злоумышленники поднимают временные сервера или заражают компьютеры пользователей, которые рассылают спам через эти релей хосты без авторизации.
Как итог, некоторые интернет провайдеры блокируют любые подключения пользователей к 25 порту.
Между серверами в интернете этот порт открыт, а вот для пользователей сделали отдельный сервис – MSA (message submission agent – агент отправки почты), тем самым отделив подключения пользователей от подключения серверов, которые общаются по прежнему по MTA. Вообще, даже на 25 порту работает MSA, но официальный порт для него – 587. Так что мешает спамерам использовать этот порт? То что на MSA, как правило, обязательна авторизация пользователей. Это не единственная причина существования MSA – так как он работает с почтовыми клиентами, он лучше оптимизирован под работу клиентов – сразу предупреждает о каких-либо ошибках в сообщениях, например, отсутствии доменного адреса получателя.
И напоследок, давайте проследим за процессом отправки почтового сообщения. Для этого используем wireshark, почтовый клиент и gmail аккаунт. Всё начинается со стандартного TCP хэндшейка, после чего запускается SMTP сессия. В рамках сессии почтовый клиент и сервер приветствуют друг друга, после чего почтовый клиент предлагает зашифровать сессию, сервер даёт согласие, после чего происходит обмен ключами и начинается зашифрованная сессия TLSv1.3, после чего в зашифрованном виде клиент авторизуется и передаёт сообщение, которое не видно для перехватчика трафика.
Получение и установка SSL сертификата для почтового сервера (Postfix, Dovecot и Apache)
Как я получал и прикручивал SSL сертификат для защиты трафика почтового сервера
Что требуется:
Шифрование почтовых сообщений на всех протоколах по которым они ходят.
Получал сертификат у регистратора домена, т.е. на nic.ru. Там есть неплохой мануал, но, почему-то, они думают что сертификаты используются только для WEB, дальше объясню почему.
Вообще, не лишним будет прочесть это.
Итак, для начала нужен CSR, как написано на nic.ru это:
«CRS(Certificate Signing Request) — запрос на получение сертификата, который представляет собой текстовый файл, содержащий в закодированном виде информацию об администраторе домена и открытый ключ.»
Генерируем. Rucenter предлагает сгенерить приватный ключ для апача такой командой:
В общем-то команда правильная и, если предполагается шифровать только HTTP, POP и IMAP, то можно делать как написано и дальше не читать. Но Postfix такой ключ не примет и заставить его никак нельзя (но к голубятне и индейцу прикрутить все-же можно). В официальном руководстве Postfix’а написано:
In order to use TLS, the Postfix SMTP server generally needs a certificate and a private key. Both must be in «PEM» format. The private key must not be encrypted, meaning: the key must be accessible without a password.
который выглядит примерно так:
Вводим в поле CSR на сайте, настраиваем нехитрые парамертры и отсылаем запрос.
Через несколько минут приходит письмо с thawte.com о просьбе подтверждения заказа, затем еще одно и, примерно через час, с nic.ru о том что процедура выпуска сертификата успешно завершена со ссылкой на сам сертификат.
Для скачивания предоставлены четыре сертификата: корневой, два промежуточный и сертификат на домен mail.notessysadmin.com, качаем все.
Промежуточный корневой сертификат является связующим звеном в иерархической цепочке сертификатов. С его помощью пользователь сайта, на котором установлен сертификат, может проверить всю цепочку доверия и убедиться в подлинности выпущенного сертификата.
Переименовываем и копируем ключи из полученных файлов на сервер:
по сути назвать их можно как угодно.
В общем-то все. Настройка демонов на SSL шифрование тема отдельной статьи, приведу только блоки с сертификатами:
Если все правильно настроено, то сертификаты не будут просить подтверждения исключения безопасности и не добавятся к списку серверов почтового клиента в управлении сертификатами. Все должно работать.
Похожие записи
Комментарии к посту “ Получение и установка SSL сертификата для почтового сервера (Postfix, Dovecot и Apache) ”
In order to use TLS, the Postfix SMTP server generally needs a certificate and a private key. Both must be in «PEM» format. The private key must not be encrypted, meaning: the key must be accessible without a password.
Спасибо, объяснили блондинке как правильно создать сертификаты))
У меня такая же проблема.. Не пойму на какое доменное имя выпускать сертификат на mx.mydomain.ru (который ссылается на IP где крутиться почтарь с вебмордой) или mydomain.ru (сам сайт на другом IP)
Конечно на mx.mydomain.ru, при чем тут сайт на mydomain.ru?
Вообще, статья написана до существования Let’s Encrypt, поэтому советую воспользоваться именно им, а не покупать сертификат.
так письмо на проверку домена пришло на адрес admin@mx.mydomain.ru, а у меня нет такого адреса.
Не совсем понял какое письмо и откуда. Скажите что сделали, тогда можно будет подумать конкретно.
SSL сертификат
Протокол обеспечивает конфиденциальность обмена данными между клиентом и сервером, использующими TCP/IP, причем для шифрования используется асимметричный алгоритм с открытым ключом. При шифровании с открытым ключом используется два ключа, причем любой из них может использоваться для шифрования сообщения. Тем самым, если мы используем один ключ для шифрования, то соответственно для расшифровки нужно использовать другой ключ. В такой ситуации мы можем получать защищенные сообщения, публикуя открытый ключ, и храня в тайне секретный ключ.
Протокол SSL состоит из двух под-протоколов: протокол SSL записи и рукопожатия. Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи для обмена сериями сообщений между сервером и клиентом, во время установления первого соединения.
SSL поддерживает три типа аутентификации: Аутентификация обеих сторон (клиент — сервер), аутентификация сервера с неаутентифицированным клиентом и полная анонимность. Всякий раз, когда сервер аутентифицируется, канал безопасен против атаки человек посредине, но полностью анонимная сессия по своей сути уязвима к такой атаке. Анонимный сервер не может аутентифицировать клиента. Если сервер аутентифицирован, то его сообщение сертификации должно обеспечить верную сертификационную цепочку, ведущую к приемлемому центру сертификации. Проще говоря, аутентифицированный клиент должен предоставить допустимый сертификат серверу. Каждая сторона отвечает за проверку того, что сертификат другой стороны еще не истек и не был отменен. Главная цель процесса обмена ключами — это создание секрета клиента (pre_master_secret), известного только клиенту и серверу. Секрет (pre_master_secret) используется для создания общего секрета (master_secret). Общий секрет необходим для того чтобы создать сообщение для проверки сертификата, ключей шифрования, секрета MAC (message authentication code) и сообщения «finished». При посылке верного сообщения «finished», тем самым стороны докажут что они знают верный секрет (pre_master_secret).
Кому и зачем нужен SSL-сертификат
Начиная с 2018 года SSL сертификат должен быть установлен на каждом сайте. Если вы запускаете новый сайт, даже это если это просто информационный сайт или блог, на нем должен быть установлен SSL сертификат. В Google наличие или отсутствие SSL сертификата (протокола HTTPS) является одним из факторов ранжирования вашего сайта.
SSL-сертификат нужен для того, чтобы мошенники не могли перехватить личные данные, которые пользователи вводят у вас на сайте. Личные данные — это логины и пароли от аккаунтов, номера банковских карт, адреса электронной почты и т.д. Это значит, что SSL-сертификат пригодится на сайтах банков, платёжных систем, корпораций, интернет-магазинов, социальных сетей, государственных предприятий, онлайн-форумов и др.
SSL-сертификат выгоден для владельца сайта: так вы подтвердите, что на сайте безопасно вводить личные данные и проявите заботу о клиентах. Если человек переживает, что конфиденциальная информация попадёт не в те руки, он получит дополнительные гарантии. Меньше риска для пользователей, выше репутация компании.
SSL-сертификат, центр сертификации.
Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат. Технология шифрования не зависит от сертификатов, но они необходимы для того, чтобы гарантировать, что общаться друг с другом будут только те хосты, которые действительно намеревались это сделать. Если каждый из хостов может проверить сертификат другого, то они договариваются о шифровании сеанса. В противном случае они полностью отказываются от шифрования и формируют предупреждение, т.к. отсутствует Аутентичность.
Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) — это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру: