Email serverlari ko'pincha unutiladigan, lekin juda muhim infrastruktura komponenti hisoblanadi. Web sayt SSL bilan himoyalangan bo'lsa-da, email server shifrlanmagan holatda ishlasa, foydalanuvchining parollari va xatlari oddiy matn ko'rinishida tarmoq orqali uzatiladi. Bu esa hakerlar uchun ochiq xazina demakdir. SMTP, IMAP va POP3 protokollarining barchasi TLS shifrlashni qo'llab-quvvatlaydi va zamonaviy pochta serverlarida bu funksiya yoqilgan bo'lishi shart. STARTTLS va implicit TLS deb ataluvchi ikki xil yondashuv mavjud, ikkalasi ham bir xil darajada xavfsizlikni ta'minlaydi, lekin texnik tarafdan biroz farq qiladi.
Postfix SMTP server uchun SSL sozlash
Postfix โ bu Linux serverlarda eng ko'p ishlatiladigan SMTP server. Unda SSL sertifikat o'rnatish uchun main.cf faylida bir nechta parametrlarni o'zgartirish kerak. smtpd_tls_cert_file parametriga sertifikat fayl yo'li, smtpd_tls_key_file parametriga xususiy kalit yo'li ko'rsatiladi. Bundan tashqari smtpd_use_tls va smtpd_tls_security_level parametrlarini ham to'g'ri sozlash zarur. Sertifikatlar odatda Let's Encrypt yordamida olinadi va Postfix bilan birga ishlatish uchun fullchain.pem va privkey.pem fayllari ko'rsatiladi. Konfiguratsiyadan keyin postfix reload buyrug'i bilan server qayta yuklanadi.
Dovecot IMAP va POP3 server uchun SSL
Dovecot โ bu IMAP va POP3 protokollari uchun mashhur server. Uning konfiguratsiyasi 10-ssl.conf faylida amalga oshiriladi, bu fayl odatda etc dovecot conf.d katalogida joylashgan. Ssl parametri yes yoki required qiymatga o'rnatiladi, ssl_cert va ssl_key parametrlariga sertifikat va kalit yo'llari beriladi. Required qiymati eng xavfsiz bo'lib, u shifrlanmagan ulanishlarni umuman taqiqlaydi. Qo'shimcha xavfsizlik uchun ssl_min_protocol parametriga TLSv1.2 qiymati o'rnatiladi, eski TLSv1 va SSLv3 versiyalari taqiqlanadi.
SMTP, IMAP va POP3 uchun portlar va shifrlash turlari
Email protokollari uchun bir nechta standart portlar mavjud va ularning har biri turlicha shifrlash usulidan foydalanadi. SMTP uchun 25-port serverlararo aloqada, 587-port klient yuborish uchun STARTTLS bilan, 465-port esa implicit TLS bilan ishlatiladi. IMAP uchun 143-port STARTTLS bilan, 993-port implicit TLS bilan. POP3 uchun 110-port STARTTLS bilan, 995-port implicit TLS bilan. Zamonaviy pochta klientlari odatda 587, 993 va 995 portlarini avtomatik tanlaydi va shifrlash bilan ulanadi. Foydalanuvchilarga ham aynan shu portlarni ishlatishni tavsiya qilish kerak.
Sertifikat yangilash va monitoring
Let's Encrypt sertifikatlari 90 kun davomida amal qiladi va ularni avtomatik yangilash zarur. Web server uchun bu jarayon ko'pincha avtomatik amalga oshadi, lekin email server uchun sertifikat yangilangandan so'ng Postfix va Dovecot xizmatlarini qayta yuklash kerak. Buning uchun certbot deploy hook ishlatiladi, u sertifikat yangilangandan keyin avtomatik tarzda postfix reload va dovecot reload buyruqlarini bajaradi. Sertifikatning amal qilish muddatini monitoring qilish ham muhim, buning uchun maxsus skriptlar yoki nagios kabi vositalardan foydalaniladi.
Sayt.uz amaliyot
Sayt.uz hosting paketlarida professional email xizmati standart sifatida kiritilgan va barcha pochta serverlari Let's Encrypt SSL sertifikati bilan ta'minlangan. Bizning mutaxassislarimiz Postfix va Dovecot serverlarini A+ darajadagi xavfsizlik bilan sozlab qo'yganlar. Pochta qutilarining 99,3 foizi standart hostingda bepul keladi, qo'shimcha pochta qutisi 9 ming so'm dan boshlanadi. Korporativ email xizmati 49 ming so'm dan, kunlik 50 ming xat hajmidagi rejalar esa 290 ming so'm dan. Migratsiya boshqa servisdan bepul amalga oshiriladi.