15.5. 邮件用户代理
Red Hat Enterprise Linux 提供各种电子邮件程序,包括图形电子邮件客户端程序,如 Evolution,以及 mutt 等基于文本的电子邮件程序。
本节的其余部分侧重于保护客户端和服务器之间的通信。
15.5.1. 安全通信
MUA 包含在红帽企业 Linux 中,如 Thunderbird、Evolution 和 Mutt 提供 SSL 加密电子邮件会话。
与通过未加密网络流出的任何其他服务一样,重要的电子邮件信息(如用户名、密码和整个消息)可能会被网络上的用户截获和查看。此外,由于标准 POP 和 IMAP 协议以未加密的方式传递身份验证信息,攻击者可以通过收集通过网络传递的用户名和密码来获得用户帐户的访问权限。
15.5.1.1. 安全电子邮件客户端
大多数 Linux MUA 旨在检查远程服务器上的电子邮件,都支持 SSL 加密。要在检索电子邮件时使用 SSL,必须在电子邮件客户端和服务器中启用 SSL。
SSL 可在客户端上轻松启用,通常通过单击 MUA 配置窗口中的按钮或 MUA 配置文件中的 选项来完成。安全 IMAP 和 POP 具有已知端口号(分别为 993 和 995),MUA 用于验证和下载消息。
15.5.1.2. 保护电子邮件客户端通讯
向 IMAP 和 POP 用户在电子邮件服务器上提供 SSL 加密非常简单。
首先,创建 SSL 证书。这可以通过两种方式完成:应用到 SSL 证书的证书颁发机构(CA )或创建自签名证书。
自签名证书应仅用于测试目的。在生产环境中使用的任何服务器都应使用由 CA 签名的 SSL 证书。
要为 IMAP 或 POP 创建自签名 SSL 证书,请更改为 /etc/pki/dovecot/ 目录,编辑 /etc/pki/dovecot/dovecot-openssl.cnf 配置文件中的证书参数,以 root 用户身份输入以下命令:
dovecot]# rm -f certs/dovecot.pem private/dovecot.pem dovecot]# /usr/libexec/dovecot/mkcert.sh
完成后,请确保在 /etc/dovecot/conf.d/10-ssl.conf 文件中具有以下配置:
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem
使用以下命令重启 dovecot 守护进程:
~]# systemctl restart dovecot
或者,可以将 stunnel 命令用作围绕 IMAP 或 POP 服务的标准非安全连接的加密打包程序。
stunnel 实用程序使用红帽企业 Linux 中包含的外部 OpenSSL 库来提供强大的加密和保护网络连接。建议应用到 CA 以获取 SSL 证书,但也可以创建自签名证书。
有关如何安装 stunnel 并创建其基本配置的说明,请参阅 Red Hat Enterprise Linux 7 安全指南中的 stunnel。要将 stunnel 配置为 IMAPS 和 的打包程序,请在 POP3S /etc/stunnel/stunnel.conf 配置文件中添加以下行:
[pop3s] accept = 995 connect = 110 [imaps] accept = 993 connect = 143
《安全指南》还解释了如何启动和停止 stunnel。启动后,可以使用 IMAP 或 POP 电子邮件客户端并使用 SSL 加密连接到电子邮件服务器。
