Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation Сертификаты

Что такое ssl-сертификат?

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation

Многие наверняка слышали про

, но не все чётко представляют, что это такое и для чего они нужны. По сути, SSL-сертификат — цифровая подпись вашего сайта, подтверждающая его подлинность. Использование сертификата позволяет защитить как владельца сайта, так и его клиентов. SSL-сертификат даёт возможность владельцу применить к своему сайту технологию SSL-шифрования.

Проверка сертификата ssl/tls в почтовом сервере

Способов проверить сертификат в почтовом сервере множество. Например, у меня есть статья, где я настраиваю мониторинг сертификатов с помощью Zabbix. Там же есть примеры и для почтового сервера. Вот так с помощью openssl в консоли сервера можно посмотреть текущие сертификаты.

Как установить ssl-сертификат на почтовый домен?

В почтовом сервере CommuniGate Pro в качестве пары ключей используется SSL-сертификат, выданный Центром Сертификации (Certification authority, CA). С его помощью почта будет доступна по шифрованным протоколам HTTPS, IMAPs, POPs, SMTPs.

Инфраструктура Открытых Ключей (Public Key Infrastructure, PKI) является технологией, основывающейся на асимметричной криптографии. Она базируется на использовании пары ключей – “закрытого ключа” и “открытого ключа”. Эти ключи должны создаваться вместе, с использованием специальных алгоритмов. Информация, зашифрованная “закрытым ключом”, может быть расшифрована любым, кто знает соответствующий “открытый ключ”, а любая информация, зашифрованная “открытым ключом”, может быть расшифрована только с использованием соответствующего “закрытого ключа”.

Внимание! Для корректной работы браузеров и почтовых программ с почтой действительный сертификат должен иметь в качестве альтернативного имени субъекта домен mail.yourdomain.by.

Для установки SSL-сертификата на почтовый домен необходимо выполнить следующие шаги:

1. Перейдите по ссылке http://mail.yourdomain.by:8010 (ссылку можно найти в письме с реквизитами доступа к хостингу; инструкцию по восстановлению доступа можно посмотреть здесь) и нажмите на “Управление Доменом”.

2. В окне авторизации введите логин postmaster и пароль (из письма «Реквизиты доступа к хостингу» ) и нажмите кнопку “OK”.

Примечание. Восстановление реквизитов согласно инструкции 

Установка SSL - 1.png

3. Включите продвинутый интерфейс. Для этого нажмите на «Базовый», затем в выпадающем списке «Тип Интерфейса» выберите «Продвинутый» (поле 1) и нажмите кнопку «Модифицировать» (поле 2).

Установка SSL - 2.png

Установка SSL - 3.jpg

Что такое ssl сертификат для сайта, почты [айти бубен]

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation

SSL (Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером. Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS.

Протокол обеспечивает конфиденциальность обмена данными между клиентом и сервером, использующими TCP/IP, причем для шифрования используется асимметричный алгоритм с открытым ключом. При шифровании с открытым ключом используется два ключа, причем любой из них может использоваться для шифрования сообщения. Тем самым, если мы используем один ключ для шифрования, то соответственно для расшифровки нужно использовать другой ключ. В такой ситуации мы можем получать защищенные сообщения, публикуя открытый ключ, и храня в тайне секретный ключ.

Протокол SSL состоит из двух под-протоколов: протокол SSL записи и рукопожатия. Протокол SSL записи определяет формат, используемый для передачи данных. Протокол SSL включает рукопожатие с использованием протокола SSL записи для обмена сериями сообщений между сервером и клиентом, во время установления первого соединения.

SSL поддерживает три типа аутентификации: Аутентификация обеих сторон (клиент — сервер), аутентификация сервера с неаутентифицированным клиентом и полная анонимность. Всякий раз, когда сервер аутентифицируется, канал безопасен против атаки человек посредине, но полностью анонимная сессия по своей сути уязвима к такой атаке. Анонимный сервер не может аутентифицировать клиента. Если сервер аутентифицирован, то его сообщение сертификации должно обеспечить верную сертификационную цепочку, ведущую к приемлемому центру сертификации. Проще говоря, аутентифицированный клиент должен предоставить допустимый сертификат серверу. Каждая сторона отвечает за проверку того, что сертификат другой стороны еще не истек и не был отменен. Главная цель процесса обмена ключами — это создание секрета клиента (pre_master_secret), известного только клиенту и серверу. Секрет (pre_master_secret) используется для создания общего секрета (master_secret). Общий секрет необходим для того чтобы создать сообщение для проверки сертификата, ключей шифрования, секрета MAC (message authentication code) и сообщения «finished». При посылке верного сообщения «finished», тем самым стороны докажут что они знают верный секрет (pre_master_secret).

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation

Начиная с 2021 года SSL сертификат должен быть установлен на каждом сайте. Если вы запускаете новый сайт, даже это если это просто информационный сайт или блог, на нем должен быть установлен SSL сертификат. В Google наличие или отсутствие SSL сертификата (протокола HTTPS) является одним из факторов ранжирования вашего сайта.

SSL-сертификат нужен для того, чтобы мошенники не могли перехватить личные данные, которые пользователи вводят у вас на сайте. Личные данные — это логины и пароли от аккаунтов, номера банковских карт, адреса электронной почты и т.д. Это значит, что SSL-сертификат пригодится на сайтах банков, платёжных систем, корпораций, интернет-магазинов, социальных сетей, государственных предприятий, онлайн-форумов и др.

SSL-сертификат выгоден для владельца сайта: так вы подтвердите, что на сайте безопасно вводить личные данные и проявите заботу о клиентах. Если человек переживает, что конфиденциальная информация попадёт не в те руки, он получит дополнительные гарантии. Меньше риска для пользователей, выше репутация компании.

Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат. Технология шифрования не зависит от сертификатов, но они необходимы для того, чтобы гарантировать, что общаться друг с другом будут только те хосты, которые действительно намеревались это сделать. Если каждый из хостов может проверить сертификат другого, то они договариваются о шифровании сеанса. В противном случае они полностью отказываются от шифрования и формируют предупреждение, т.к. отсутствует Аутентичность.

Про сертификаты:  Что делать, если опера выдает ошибку: ваше подключение не является приватным

Центр сертификации или Удостоверяющий центр (англ. Certification authority, CA) — это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится центрами сертификации в виде цифровых сертификатов, имеющих следующую структуру:

Если вы решили самостоятельно выпускать сертификаты, то первым делом вам нужно создать сертификат вашего собственного центра сертификации. Для этого используем программу CA.pl входящую в поставку Как пользоваться OpenSSL, предварительно отредактируем конфигурационный файл openssl.cnf.

# cp /etc/ssl/openssl.cnf /etc/ssl/openssl.cnf.orig
# nano openssl.cnf
...
[ CA_default ]

dir             = ./demoCA
# cacert.pem- Это открытый ключ центра сертификации. Он должен находиться в корневых хранилищах ваших хостов,
# чтобы они могли проверить родпись в открытом сертификате (например, Postfix).
certificate     = $dir/cacert.pem
# cakey.pem - это секретный ключ центра сертификации. Он должен быть хорошо защищен,
# доступ к нему на чтение и запись должен иметь только администратор центра сертификации.
private_key     = $dir/private/cakey.pem
# Время жизни сертификата (по умолчанию 1 год)
default_days    = 1095
[ req ]
# длина RSA ключа (по умолчанию 1024 bit). Длину ключа можете настроить по своему усмотрению.
default_bits            = 1024
[ req_distinguished_name ]
countryName_default             = UA
0.organizationName_default      = Example INC
stateOrProvinceName_default     = Example
organizationalUnitName_default  = Example

# В подавляющем большинстве случае должно соответствовать полному доменному имени хоста.
# Common Name (eg, your name or your server's hostname) []:OpenVPN-CA

commonName                      = Common Name (eg, YOUR name)
commonName_default              = mail.example.com
...
# /usr/lib/ssl/misc/CA.pl -newca

TLS- шифрование трафика предназначено для обеспечения защиты трафика при взаимодействии клиентов, находящихся за пределами доверенных сетей, с нашим сервером, а также при взаимодействии нашего сервера c другими почтовыми серверами. Для TLS-шифрования трафика мы будем использовать функции OpenSSL и самоподписной доверенный сертификат X.509. Для создания самоподписного доверенного сертификата необходимо выполнить команду:

# mkdir /etc/postfix/certs
# cd /etc/postfix/certs
# openssl req -new -nodes -x509 -out smtpd.pem -keyout smtpd.pem -days 3650
# chmod 644 smtpd.pem

В процессе выполнения команды на экран будут выданы запросы о вводе таких параметров как: Country Name, State or Province Name; Locality Name; Organization Name; Organizational Unit Name; Common Name; Email Address. Самым важным параметром является значение Common Name. В нашем случае оно должно совпадать с FQDN сервера, по которому клиенты будут обращаться к нему для отправки почты. Чтобы не вводить эти данные вручную каждый раз при создании сертификата можно отредактировать файл /etc/ssl/openssl.cnf.

После генерации сертификата необходимо включить поддержку TLS в файле main.cf:

smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/certs/smtpd.pem              
smtpd_tls_cert_file = /etc/postfix/certs/smtpd.pem              
smtpd_tls_CAfile = /etc/postfix/certs/smtpd.pem
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Указанные параметры имеют следующие значения:

Администраторы сервера выбирают, какой порт будут использовать клиенты для ретрансляции исходящей почты – 25 или 587. Спецификации и многие сервера поддерживают и тот, и другой порты. Хотя некоторые сервера поддерживают порт 465 для безопасного SMTP, но предпочтительнее использовать стандартные порты и ESMTP-команды, если необходима защищенная сессия между клиентом и сервером.

Отличия портов 25, 465, 587. По 465 порту соединение сразу должно открываться по TLS/SSL. С 587 работают как с 25: соединение в открытом виде, а для включения шифрования подаётся команда STARTTLS, если сервер заявил о такой возможности в ответ на EHLO от клиента. smtps (465 порт) фича более старая, starttls – более новая и, понятно, более гибкая.

Для того, чтобы Postfix принимал TLS- соединения на специальный порт (465/SMTPS, а не 25/SMTP), в файле /usr/local/etc/postfix/master.cf необходимо раскомментировать строки:

smtps inet n - n - - smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes

Не забудьте, что Ваш брандмауэр должен разрешать прохождение TCP-трафика на адреса нужных интерфейсов сервера порт 465, поэтому добавьте соответствующие правила, если они отсутствуют. На этом добавление поддержки TLS-шифрования трафика к Postfix заканчивается. Остается перезапустить Postfix и начать пользоваться аутентификацией SMTP и TLS-шифрованием трафика.

1 securing webmail

When you access your mailbox via webmail,
a connection between your browser and webmail running on a web server is established.
To protect transferred emails and email credentials from being compromised, webmail is by default secured
with the same self-signed SSL/TLS certificate Plesk is secured with.

The self-signed SSL/TLS certificate encrypts the transferred data
but each time you access your webmail you see a warning message about an untrusted SSL/TLS certificate.
To stop seeing this warning, secure webmail with a valid SSL/TLS certificate.

To secure webmail with an SSL/TLS certificate:

  1. Get a wildcard SSL/TLS certificate or a SAN certificate
    that allows to configure webmail.<domain> in SAN. You can do so by:

    Note: We strongly recommend this option because one wildcard certificate protects all necessary mail connections.

  2. Go to Mail > the “Mail Settings” tab, click the domain name, select the SSL/TLS certificate for webmail,
    and then click OK.

2 securing the mail server in plesk

Ask your hosting provider if they have secured the Plesk mail server with a valid SSL/TLS certificate
(not with the self-signed SSL/TLS certificate that secures the mail server by default).
This encrypts the connection between the Plesk mail server and senders’ MTA
protecting emails you receive from being intercepted.

However, unless you are paying for a dedicated server, there is a shortcoming.
Each time you access your mailbox, you see a warning message about an untrusted SSL/TLS certificate.
It happens because the mail client detects a mismatch between the domain name to which the certificate is assigned
(the domain name of the Plesk server) and the domain name of mail.
As a result, most mail clients consider the mail server certificate not trusted.

If you use the Postfix and Dovecot mail clients (in Plesk for Linux) and MailEnable (in Plesk for Windows),
you can fix the certificates’ mismatch by assigning a SSL/TLS certificate to your individual mail for a domain.

For other mail clients (for example, qmail or Courier),
there is currently no ability to assign a separate SSL/TLS certificate for your individual mail for a domain.
Whether the connection to the mail server is secured or not depends on how your mail client handles untrusted certificates:

  • The mail client connected to the mail server via SSL/TLS (even though a warning that a certificate is not trusted may be shown).
    In this case, the connection between your mail and a sender is encrypted and transferred emails are protected from being intercepted.
  • The mail client refused to connect to the mail server via SSL/TLS and you had to use an unencrypted connection.
    In this case, your transferred emails become vulnerable to interception.
    We recommend that you change your mail client to one that allows connecting via SSL/TLS even if the certificate is not trusted.
Про сертификаты:  Поволжский институт (филиал) ВГУЮ (РПА Минюста России)

3 assigning an ssl/tls certificate to mail for a domain

If you use the Postfix and Dovecot mail clients (in Plesk for Linux) and MailEnable (in Plesk for Windows),
you can secure mail for a domain with an individual SSL/TLS certificate.
We recommend that you do so if your mail client shows a warning that the SSL/TLS certificate securing the mail server cannot be verified.

Once you secure mail for a domain with an individual SSL/TLS certificate,
the mail server will return the certificate securing your mail instead of the server-wide certificate assigned by your hosting provider.
As the result, the warning will not be shown anymore.

Note: An SSL/TLS certificate securing mail for a domain encrypts the connection
only if the Plesk mail server is also secured with an SSL/TLS certificate.
Ask your hosting provider if they have secured the Plesk mail server with a valid SSL/TLS certificate.

To secure mail for a domain with an SSL/TLS certificate:

  1. Get a wildcard SSL/TLS certificate or a SAN certificate that allows to configure mail.<domain> in SAN.
    You can do so by:

    Note: If you have already got a wildcard SSL/TLS certificate when securing webmail,
    go to step 2 to secure mail for your domain with this certificate.

    Note: We recommend getting a free wildcard SSL/TLS certificate from Let’s Encrypt
    because this certificate can single-handedly protect not only mail for a domain,
    but also webmail, the domain itself, and multiple subdomains (if necessary).

  2. Go to Mail > the “Mail Settings” tab, click the domain name, select the SSL/TLS certificate for mail,
    and then click OK.

Dovecot и сертификаты let’s encrypt

Дальше проделаем то же самое, только для Dovecot. Настроим его на работу с сертификатом let’s encrypt. Для этого добавляем в его конфиг /etc/dovecot/dovecot.conf параметры.

S/mime cертификат для безопасной коммуникации электронной почты

S/MIME сертификаты предоставляют наиболее высокий уровень конфиденциальности и безопасности в электронной коммуникации, так как они позволяют шифровать сообщения и вложения электронной почты и подписывать их с помощью цифровой подписи.

Шифрование означает, что только указанный вами получатель сможет прочитать шифрованное письмо, в то время как электронная подпись позволяет получателю убедиться, что письмо отправили именно вы, и что оно не было изменено третьими лицами в процессе передачи. 

При получении письма от пользователя с S/MIME сертификатом, пользователь клиента Outlook видит сообщение с дополнительными знаками доверия:

  • Пользователь видит печать и замок – письмо зашифровано и подписано электронной сигнатурой;
  • Пользователь видит печать – письмо только подписано. (При нажатии на знак цифровой подписи, получатель сможет просмотреть более подробную информацию об отправителе и сертификате.)

Web-сайт

Заводим на IIS сайт c адресом почтового сервера. Естественно, делаем всё это на сервере, где крутится hMailServer. Создаём там любую страничку index.html для проверки работы сайта.

Проверяем, что сайт работает.

Сайт работает.

Выпуск сертификатов

Читаем статью IIS — SSL сертификат Let’s Encrypt и генерируем для нашего сайты SSL сертификаты Let’s Encrypt.

Запускаем wacs.exe под администратором.

Нам нужен пункт “Create new certificate” with advanced option”. Пишем “m”.

Выбираем “SAN certificate for all bindings of an IIS site”. Пишем “2”.

Находим в списке домен своего почтового сервера, пишем его номер, у меня “7”.

Выбираем список доменных имён для исключения. Или ввод, если исключений нет. Я нажимаю Enter.

Я нажимаю Enter.

Выбираем способ подтверждения владения доменом. Для IIS это “4”.

Тип CSR. Пишем “2”.

Вот теперь важный пункт, где храним сертификаты. Выбираем “3”, чтобы записать их в папку.

Нас спросят, в какую папку записывать сертификаты, указываем C:mailssl.

Теперь спрашивают, нужно ли выполнить скрипт после записи сертификатов. Пишем “2”, конечно нужно перезапустить hMailServer!

Просят указать путь к скрипту. Пишем C:mailsslrestart_hmailserver.bat.

Enter.

Здесь у меня уже был ранее создана задача перевыпуска этого сертификата, пишу “y”.

И так, создаётся задача на обновление сертификата.

Происходит процедура проверки владения доменом — успех.

Экспортируются файлы сертификата в C:mailssl.

Выполняется скрипт C:mailsslrestart_hmailserver.bat, это нам пока не нужно, понадобится при выпуске следующих сертификатов.

Проверяем, что файлы созданы:

Где купить ssl-сертификат?

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation

Приобретают сертификаты обычно не напрямую у удостоверяющего центра, а через партнёров. В России продажей сертификатов известных удостоверяющих центров (УЦ), таких как Comodo, Geotrust, GoDaddy, GlobalSign, Symantec и прочих, занимается множество компаний.

Где получить ssl сертификат бесплатно

Нашла для вас пять способов получить SSl сертификат без затрат.

Эта некоммерческая организация выдает бесплатные SSL DV сертификаты со сроком жизни три месяца. Можно получить wildcard-сертификат.

Еще одна некоммерческая организация, которая также выдает 90-дневные DV сертификаты. Отличается от Let’s Encrypt совместимостью: как заявляет компания, их сертификаты поддерживаются на 99,99% устройств. Нет опции wildcard.

У этого сервиса есть бесплатный тариф — DV сертификат на 90 дней. Как и Free SSL, заявляют о 99,99% совместимости с серверами, браузерами и устройствами, однако на бесплатном тарифе не поддерживается wildcard.

Этот сервис защищает сайты от DDoS-атак — моментов, когда злоумышленники пытаются перегрузить ваш сайт множеством одновременных запросов, а также ускоряет загрузку. Бесплатный SSL сертификат — приятное дополнение к сервису. CloudFlare предлагает получить SSL сертификат бесплатно и на неопределенный срок на базовом тарифе, который предназначен для личных некоммерческих сайтов.

У бесплатного SSL от CloudFlare есть одно «но». Загрузка сайта ускоряется благодаря тому, что сервис кеширует ваш сайт на свои серверы и контент попадает пользователю с них. Общение происходит по цепочке «пользователь — серверы CloudFlare — ваш сервер», и SSL зашифрует только первую связь.

Для чего нужен ssl сертификат

Во-первых, SSL сертификат поможет защитить ваших пользователей от мошенников. Какие варианты обмана могут быть:

  • Злоумышленник просто заберет данные пользователей из потока данных и будет использовать их в своих целях.
  • Более активное вмешательство — злоумышленник сможет изменить данные. Например, вы будете переводить платеж, а он поменяет счет получателя и сумму, и все ваши деньги уйдут к нему.
Про сертификаты:  Винилискожа - компания «Технопром»

Во-вторых, пользователь будет спокоен — он увидит значок замка и будет чувствовать себя в безопасности.

В-третьих, получение SSL сертификата положительно скажется на ранжировании сайта поисковиками. Это знак, что вы заботитесь о безопасности пользователей, и повод для системы разместить вас повыше в выдаче.

Защита для бизнеса и клиентов

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation

Каким же сайтам нужна защита SSL? Да практически всем. Особенно тем, которые в наибольшей степени подвержены атакам: ресурсам финансовых учреждений, крупных брендов, сайтам, работающим с персональными данными и платёжной информацией.

Какие бывают ssl сертификаты

Есть разные виды SSL сертификатов. Они могут отличаться по количеству доменов и субдоменов, для которых они могут использоваться. Например, мультидоменные сертификаты могут защищать два, три или пять доменов. Сертификат с опцией wildcard распространяется на все субдомены указанного в сертификате домена.

Также сертификаты различаются по тому, как именно сайт будет проверяться. Тут есть три варианта:

И, наконец, есть несколько доверенных центров, которые выпускают сертификаты — например, Thawte, Sectigo, Geotrust, GlobalSign и другие. Их продукты отличаются уровнем защиты и различными дополнительными функциями.

Кому подойдет бесплатный sslсертификат

В большинстве случаев бесплатно вы можете получить только SSL сертификат низшего уровня, то есть с подтверждением домена — DV. Это значит, что вариант с бесплатным SSL сертификатом подойдет только для небольших сайтов, которые не просят у пользователя «опасных» данных вроде номера кредитки. Например, это:

  • личный блог;
  • сайт-визитка;
  • сайт-витрина.

Для интернет-магазинов и прочих сайтов, которые запрашивают у пользователя финансовые и/или деликатные личные данные, лучше получать SSL сертификаты следующих уровней.

Настройка ssl в hmailserver

В админке hMailServer в Settings > Advanced > SSL certificates добавляем сертификат.

Certificate file — указываем путь к *-chain.PEM файлу.

Private key file — указываем путь к *.key.PEM файлу.

Сохраняем “Save”.

В админке hMailServer в Settings > Advanced > TCP/IP ports добавляем 587 SMTP порт.

  • Протокол: SMTP
  • TCP/IP adress: 0.0.0.0
  • TCP/IP port: 587
  • Connection security: SSL/TLS
  • SSL Certificate: из выпадающего списка выбираем добавленный ранее сертификат.

В админке hMailServer в Settings > Advanced > TCP/IP ports добавляем 993 IMAP порт.

  • Протокол: IMAP
  • TCP/IP adress: 0.0.0.0
  • TCP/IP port: 993
  • Connection security: SSL/TLS
  • SSL Certificate: из выпадающего списка выбираем добавленный ранее сертификат.

В админке hMailServer в Settings > Advanced > TCP/IP ports добавляем 995 POP3 порт.

  • Протокол: POP3
  • TCP/IP adress: 0.0.0.0
  • TCP/IP port: 995
  • Connection security: SSL/TLS
  • SSL Certificate: из выпадающего списка выбираем добавленный ранее сертификат.

Перезапускаем hMailServer.

На этом настройка SSL для hMailServer завершена.

Папка

Создаём папку для хранения сертификатов. Я создаю C:mailssl.

Получаем сертификат от let’s encrypt

Итак, я считаю, что вы настроили почтовый сервер по предложенной выше ссылке. Значит, у вас установлен веб сервер Apache, а так же все в порядке с dns записями. Сертификатов мы получим сразу два. Для доменных имен:

Для настройки получения сертификатов let’s encrypt и настройки apache, нам нужно будет установить несколько пакетов. Напоминаю, что речь идет про Centos 8. В других системах настройка будет аналогичной, только имена пакетов могут отличаться.

Помогла статья? подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Проверяем в outlook

Проверяем в Outlook как работает SSL на 995 порту IMAP и на 578 порту SMTP. Создаём новую учётную запись в Outlook.

Выбираем “Ручная настройка или дополнительные типы серверов”. Далее.

Выбираем “Протокол POP или IMAP”. Далее.

Проверяем на gmail

Проверяем на gmail как работает SSL на 995 порту POP3.

Скрипт для перезапуска hmailserver

Сертификат Let’s Encrypt действует 90 дней. В планировщике добавится ежедневное правило для обновления сертификатов. Когда сертификат для hMailServer обновится через 90 дней, то hMailServer нужно перезагрузить, напишем для этого простой скрипт. Создадим в папке C:mailssl файл restart_hmailserver.bat с содержимым.

У хостинг-провайдера или регистратора доменных имен

Это условно-бесплатный способ получить SSL сертификат. Если вы только собираетесь заводить сайт или ищете новый хостинг — рассмотрите предложения, где бонусом идет сертификат.

Регистратор доменных имен предлагает бесплатный SSL сертификат при покупке имени
Регистратор доменных имен предлагает бесплатный SSL сертификат при покупке имени

Уровни проверки ssl-сертификатов

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentation

Существуют сертификаты разных уровней проверки. Для защиты персональных данных пользователей подойдёт сертификат с упрощённой проверкой — DV (Domain validation). Сертификат с проверкой доменов — самый низкий и недорогой уровень. Он доступен физическим и юридическим лицам, выдаётся владельцу или администратору доменного имени и просто подтверждает это доменное имя.

Следующий уровень — сертификат OV (Organization validation) для организаций, применяемый для проверки связи между доменным именем, хозяином домена и использующей сертификат компанией. То есть такой сертификат удостоверяет не только доменное имя, но и то, что сайт принадлежит действительно существующей организации.

Для более качественной проверки компании и её полномочий на приобретение сертификатов используются так называемые сертификаты с расширенной проверкой — EV (Extended validation). Это самый престижный вид сертификатов. Такие сертификаты вызывают больше всего доверия.


После установки сертификата расширенной проверки адресная строка в браузере становится зелёной — это визуальный индикатор надёжности сайта. В таком сертификате указано название организации и название удостоверяющего центра, выпустившего сертификат.

Protecting Webmail and Mail with SSL/TLS Certificates | Plesk Obsidian documentationЭта схема показывает доли сертификатов DV, OV и EV у основных удостоверяющих центров. Сертификаты DV составляют около 70% от сертификатов всех типов, на EV приходится менее 5%.

Бывают сертификаты для одного, нескольких доменов (SAN) и сертификаты для всех прямых поддоменов выбранного домена (Wildcard).

Заключение

Мы с вами успешно настроили и протестировали настройку SSL сертификатов от Let’s Encrypt для почтового сервера hMailServer с помощью IIS. Более того, сертификаты будут автоматически обновляться и перезапускать hMailServer после обновления.

Если вы используете платные SSL сертификаты, то настройка SSL происходит таким же образом, просто пропускаете все шаги для Let’s Encrypt, сохраняете свои сертификаты в любую папку у настраиваете их в админке hMailServer.

Оцените статью
Мой сертификат
Добавить комментарий