Vollständige Mail-Server-Lösung mit virtuellen Domains und Benutzern (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL) - Seite 10

VII. Sichere E-Mail

In einer idealen Welt könnten unsere Benutzer E-Mails senden/empfangen, wann immer sie im Internet sind, von jedem Ort der Welt. Leider ist das unglaublich unsicher… Passwörter werden im Klartext über die SMTP- und IMAP-Protokolle hin und her geworfen, und das bedeutet, dass jeder, der möchte, einfach das Passwort “ausspionieren” könnte.

Wenn Ihre Benutzer keinen direkten Zugriff auf die Mail-Lösung benötigen, dann geben Sie ihn ihnen nicht! Es hat keinen Sinn, sich über eine sichere E-Mail-Einrichtung den Kopf zu zerbrechen, wenn all Ihre Benutzer nur Webmail benötigen! Machen Sie einfach ihre Verbindung zum Webmail-Server sicher und stellen Sie sicher, dass der Webmail-Server eine sichere Netzwerkverbindung verwendet, wenn er mit Ihren Mail-Servern kommuniziert. Problem gelöst! Wenn Ihre Benutzer hingegen die Möglichkeit benötigen, E-Mails über das Internet zu senden/empfangen, ohne Webmail zu verwenden, wird das die Sache komplizierter machen. Nicht unmöglich, nur schwierig.

Also, hier ist Ihr Problem: SMTP und IMAP senden Passwörter im Klartext. Sie können sie dazu bringen, Passwörter mit MD5 zu senden, aber das grundlegende MD5 kann gehackt werden. Sie können sie dazu bringen, Passwörter mit MD5CRYPT zu senden, aber dann haben Sie es mit mehreren Implementierungen zu tun (ganz zu schweigen davon, dass nicht alle E-Mail-Clients MD5-Passwörter unterstützen). Die Lösung? TLS (Transport Layer Security). Wir werden unsere Lösung so einrichten, dass sie eine verschlüsselte Verbindung über das Internet unterstützt. Während wir einige unserer bestehenden Server modifizieren könnten, macht es keinen Sinn, ihre Konfigurationen zu komplizieren. Wir werden einfach einen separaten Server einrichten, um all dies zu verwalten: secure-mail.example.com

HINWEIS: Im ursprünglichen Szenario hatte das kleine Unternehmen mehrere statische IP-Adressen. Da dies der Fall ist, konnten wir SMTP+TLS auf Port 25 ausführen. Wenn Sie keine mehreren IP-Adressen haben, ist das nicht möglich. Der Grund ist einfach: Während IMAPS (sicheres IMAP) einen anderen Port (993) als das Standard-IMAP (143) verwendet, läuft SMTP+TLS auf dem gleichen Port wie SMTP (25). Daher ermöglicht es eine Firewall, die auf Ports basiert, separate IMAP- und IMAPS-Server auszuführen, aber keine Firewall der Welt kann Port 25 auf zwei verschiedene Maschinen routen. Selbst mit all dem könnten Sie immer noch SMTP+TLS auf einem nicht standardmäßigen Port ausführen… das wäre sogar noch sicherer.

Also, mit all dem im Hinterkopf werden wir einen sicheren Mail-Server einrichten, der SMTP+TLS zum Senden von E-Mails und IMAPS zum Empfangen verwendet.

A. SSL-Zertifikate

Die einfachste Form der Verschlüsselung besteht darin, ein einfaches selbstsigniertes Zertifikat auf dem Server zu haben. Dies wird eine Warnmeldung erzeugen, wenn die Clients sich zum ersten Mal verbinden, aber sie sollten in der Lage sein, es für die weitere Verwendung zu speichern. Es ist nicht wirklich sicher, da jeder einen Man-in-the-Middle-Angriff ausführen kann, wenn Sie das Zertifikat nicht speichern.

Die nächste Stufe besteht darin, ein Serverzertifikat zu verwenden, das von einer Zertifizierungsstelle (CA) signiert wurde, entweder von einer kommerziellen oder vielleicht von der unternehmensinternen CA. Auf diese Weise wird das Serverzertifikat vertrauenswürdig, und wenn Sie jetzt eine Warnung erhalten, könnte möglicherweise etwas Schlechtes vor sich gehen.

Last but definitely not least ist die Verwendung von Client-Zertifikaten zum Anmelden am Server und die Verwendung eines Serverzertifikats zur Authentifizierung des Servers gegenüber den Clients. Dies ist ziemlich sicher, wird jedoch nicht von allen E-Mail-Clients unterstützt. Thunderbird hat unter anderem Unterstützung dafür.

1. Selbstsigniertes Serverzertifikat

Zuerst die Verzeichnisse erstellen, den privaten Schlüssel erstellen und schließlich das Zertifikat erstellen.

# mkdir -p /etc/ssl/example.com/mailserver/  
# cd /etc/ssl/example.com/mailserver/  
# openssl genrsa 1024 > mail-key.pem  
# chmod 400 mail-key.pem  
# openssl req -new -x509 -nodes -sha1 -days 365 -key mail-key.pem > mail-cert.pem

Beachten Sie, dass der “Common Name (z. B. IHR Name)” mit dem Namen des Servers übereinstimmen MUSS, der in diesem Fall secure-mail.example.com ist.

2. CA-signiertes Zertifikat

Die Verwendung eines echten CA-signierten Zertifikats unterscheidet sich nicht von der Verwendung eines selbstsignierten. Es ist nur ein weiterer Schritt in der Erstellung des Schlüsselpaares. Wenn Ihr Unternehmen eine eigene CA hat, sollte diese ein Zertifikat für den Mail-Server ausstellen. Eine Google-Suche nach “be your own ca” wird Ihnen genügend Antworten geben, um selbst eines zu erstellen, wenn Sie das Bedürfnis haben.