Email серверы — это часто забываемый, но очень важный компонент инфраструктуры. Даже если веб-сайт защищен SSL, но email сервер работает без шифрования, пароли и письма пользователей передаются по сети открытым текстом. Это открытая сокровищница для хакеров. Все протоколы SMTP, IMAP и POP3 поддерживают TLS шифрование, и эта функция должна быть включена на современных почтовых серверах. Существуют два подхода: STARTTLS и implicit TLS, оба обеспечивают одинаковый уровень безопасности, но технически немного отличаются.
Настройка SSL для Postfix SMTP сервера
Postfix — самый часто используемый SMTP сервер на Linux серверах. Для установки SSL сертификата нужно изменить несколько параметров в файле main.cf. В параметре smtpd_tls_cert_file указывается путь к файлу сертификата, в smtpd_tls_key_file — путь к приватному ключу. Также необходимо правильно настроить параметры smtpd_use_tls и smtpd_tls_security_level. Сертификаты обычно получают с помощью Let's Encrypt, и для использования с Postfix указываются файлы fullchain.pem и privkey.pem. После конфигурации сервер перезагружается командой postfix reload.
SSL для Dovecot IMAP и POP3 сервера
Dovecot — популярный сервер для протоколов IMAP и POP3. Его конфигурация выполняется в файле 10-ssl.conf, который обычно находится в каталоге etc dovecot conf.d. Параметр ssl устанавливается в значение yes или required, в параметры ssl_cert и ssl_key указываются пути к сертификату и ключу. Значение required наиболее безопасное, оно полностью запрещает незашифрованные соединения. Для дополнительной безопасности параметр ssl_min_protocol устанавливается в TLSv1.2, а старые версии TLSv1 и SSLv3 запрещаются.
Порты и типы шифрования для SMTP, IMAP и POP3
Для email протоколов существует несколько стандартных портов, и каждый использует свой тип шифрования. Для SMTP: порт 25 для серверной коммуникации, порт 587 для клиентской отправки с STARTTLS, порт 465 с implicit TLS. Для IMAP: порт 143 с STARTTLS, порт 993 с implicit TLS. Для POP3: порт 110 с STARTTLS, порт 995 с implicit TLS. Современные почтовые клиенты обычно автоматически выбирают порты 587, 993 и 995 и подключаются с шифрованием. Пользователям также следует рекомендовать использовать именно эти порты.
Обновление сертификатов и мониторинг
Сертификаты Let's Encrypt действительны 90 дней и требуют автоматического обновления. Для веб-сервера этот процесс обычно выполняется автоматически, но для email сервера после обновления сертификата нужно перезагрузить службы Postfix и Dovecot. Для этого используется certbot deploy hook, который автоматически выполняет команды postfix reload и dovecot reload после обновления сертификата.
Практика Sayt.uz
В хостинг пакетах Sayt.uz профессиональная email служба включена стандартно, и все почтовые серверы обеспечены SSL сертификатом Let's Encrypt. Наши специалисты настроили серверы Postfix и Dovecot с уровнем безопасности A+. 99,3 процента почтовых ящиков идут бесплатно в стандартном хостинге, дополнительный ящик от 9 тысяч сум. Корпоративная email служба от 49 тысяч сум, планы с объемом 50 тысяч писем в день — от 290 тысяч сум. Миграция с другого сервиса выполняется бесплатно.