Настройки безопасности протоколов обмена в iRedMail
Как настроен iRedMail и что можно изменить при необходимости? Доступ к электронной почте через IMAP / POP3 обрабатывается Dovecot, отправка электронной почты посредством отправки почты (SMTP AUTH) Postfix.
Сводная таблица
| Protocol | Plain Text | STARTTLS | SSL/TLS Socket | Initiator |
|---|---|---|---|---|
| SMTP | 25 | 25 | - | MTA |
| Submission | - | 587 | - | MSA |
| POP3 | - | 110 | 995 (POP3S) | MUA |
| IMAP | - | 143 | 993 (IMAPS) | MUA |
IMAP/POP3
iRedMail разрешает STARTTLS и SSL / TLS Socket соединение. Обычный текстовый обмен по умолчанию отключен по соображениям безопасности.
STARTTLS
iRedMail применяет STARTTLS на TCP-портах 110 и 143. Это настраивается в /etc/dovecot/dovecot.conf:
ssl = required
...
disable_plaintext_auth = yes
Plain-Text режим (Использование простых текстовых протоколов )
iRedMail не рекомендует разрешать обмен через plain-text режим. В любом случае вы можете изменить это в /etc/dovecot/dovecot.conf:
ssl = yes
...
disable_plaintext_auth = no
# или разрешить только для некоторых выбранных хостов
ssl = yes
...
disable_plaintext_auth = yes
remote 192.168.0.0/24 {
disable_plaintext_auth = no
}
SSL/TLS Socket соединения
iRedMail по умолчанию разрешает протоколы IMAPS (993) и POP3S (995)
Submission
iRedMail разрешает только STARTTLS для отправки электронной почты через порт 587. plain-text режим по умолчанию отключен по соображениям безопасности.. Соединение сокетов SSL / TLS устарело и не должно использоваться.
Plain-Text режим
Вам нужен plain-text режим по какой-то причине? Не используйте порт 25 или 587! В этом примере мы используем порт 10587 для отправки обычного текста:
# vi /etc/postfix/master.cf
10587 inet n - n - - smtpd
-o smtpd_tls_security_level=may
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=
permit_mynetworks,
permit_sasl_authenticated,
reject
# service postfix reload
# telnet localhost 10587
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.example.com ESMTP Postfix (Debian/GNU)
EHLO hello
250-mail.example.com
250-PIPELINING
250-SIZE 15728640
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Брандмауэр: не забудьте разрешить вход/выход трафика на порт 10587. Проверьте потом с помощью telnet с удаленного хоста!
SSL/TLS соединения
Если вы настаиваете на использовании SSL/TLS соединения для отправки на порт 465, то этот документ может помочь вам: включить службу SMTPS (SMTP over SSL, порт 465)
SMTP
iRedMail allows Plain Text and STARTTLS communication on port 25 for MTA's. Plain Text is a must as many MTA's are not able to communicate with STARTTLS. Allowing both Plain Text and STARTTLS communication for MTA's is called opportunistic TLS support. If a MTA is configured to use TLS it tries STARTTLS or falls back to Plain Text.
iRedMail позволяет plain-test режим и STARTTLS связь на порту 25 для MTA. plain-test режим является обязательным, так как многие MTA не в состоянии общаться с STARTTLS. Разрешение как plain-test режима, так и STARTTLS соединения для MTA называется оппортунистической поддержкой TLS. Если MTA настроен на использование TLS, он пытается запустить STARTTLS или возвращается к plain-text режиму.
SSL/TLS Сертификаты
iRedMail устанавливает самоподписанный сертификат. В этом нет ничего плохого, за исключением того, что пользователи будут получать сообщения о недопустимом сертификате. Это происходит для IMAP, POP3, Submission и HTTPS, и пользователи должны принять этот сертификат по крайней мере один раз для каждой службы на каждом устройстве. Это не очень удобно для пользователя...
Вы получаете очень дешевые SSL/TLS сертификаты на рынке, и в ближайшем будущем вы даже получите их бесплатно по адресу letsencrypt.org один сертификат действителен для всех сервисов iRedMail: webserer, postfix и dovecot. Установка не слишком сложна: используйте купленный SSL сертификат.