Настройка SMTP с TLS
Если вы настроили шифрование POP и ШАР, входящая почта ваших клиентов будет защищена от тех, кто проникнет на серверы, а что происходит с защитой исходящей почты? Защитить исходящую почту можно настройкой какой сертификат и ключ необходимо использовать, когда он действует в качестве сервера (то есть получает почту от MUA или другого почтового сервера). Последние две строки указывают Sendmail, какие сертификат и ключ необходимо использовать, когда он действует в качестве клиента (то есть передает почту на другой почтовый сервер). Обычно после этого можно заново скомпоновать sendmail.cf, введя make sendmai 1 .cf при нахождении в каталоге /etc/mail. Теперь выполните kill sendmail и перезапустите его. После перезапуска проверьте правильность установки TLS, подключившись к нему:
# telnet local host smtp Trying 127.0.0.1... Connected to local host.. Escape character is 'A J \
220 mail.example.com ESMTP Sendmail 8.12.9/8.12.9; Sun, 11 Jan 2004 12:07:43 -0800 (PST)
ehlo localhost
250-mail.example.com Hello IDENT:614ZhaGP3Qczqknqm/KdTFGsrBe2SCYC(?!ocalhost
[127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPEUNING
250-EXPN
250-VERB
250-8BITMIМЕ
250-SIZE
250-DSN
250-ETRN
250-АUTH DIGEST-MD5 CRAM-IVD5
250-STARTTLS
250-DELIVEREBY
250 HELP
QUIT
221 2.0.0 mail.example.com closing connection Connection closed by foreign host.
Когда Sendmail передает почту другому почтовому серверу, поддерживающему TLS, почта будет шифроваться. Теперь все, что необходимо сделать, — настроить почтового клиента на использование TLS при подключении к почтовому серверу, после чего почта пользователей будет защищена на всем пути до МТА.
У нас не хватит места рассматривать каждый из существующих МТА, поскольку почти все они поддерживают несколько вариантов TLS. Если запустить Exim (http://www.exjm.org) или Courier (http://www.courier-mta.org), то вы сможете построить TLS-поддержку прямо «с иголочки». Postfix (http://www.postfix.org) имеет TLS-поддержку и предназначен для совместного использования с Cyrus-SASL (см. раздел HOWTO на http://postfix.state-of-mind.de/patrick.koetter/smtpauth/). Qmail имеет на http://inoa.net/qmail-tls/ обновление RFC 2487 (TLS). Когда TLS-поддержка имеется практически у всех МТА-агентов и почтовых клиентов, нет никаких оснований отправлять почту в «открытом» виде.