Mdaemon 服务器启用POP3-SSL/SMTP-SSL加密的方法
使用Gmail时,发现Gmail 的 POP3-SSL/SMTP-SSL 太好了,使用SSL加密技术可以防止在收发邮件时,别人窃听邮件内容。<br><br>
Gmail的Pop3配置方式,就是启用SSL的: <a target=_blank href=http://mail.google.com/support/bin/answer.py?answer=13287&topic=1555>http://mail.google.com/support/bin/answer.py?answer=13287&topic=1555</a><br>
Gmail介绍如何配置foxmail接收Pop3时,要求用户使用SSL: <a target=_blank href=http://mail.google.com/support/bin/answer.py?answer=32230&topic=1555>http://mail.google.com/support/bin/answer.py?answer=32230&topic=1555</a><br>
Gmail介绍如何配置Outlook Express接收Pop3时,也是启用SSL的: <a target=_blank href=http://mail.google.com/support/bin/answer.py?answer=13276&topic=1555>http://mail.google.com/support/bin/answer.py?answer=13276&topic=1555</a><br>
<br>
最近研究了一下,总结了如何在Mdaemon 服务器启用 POP3-SSL/SMTP-SSL的方法。通过通过TCP-to-SSL网关软件Stunnel把pop3转为pop3-ssl,把smtp转为smtp-ssl,实现邮件服务器的SSL加密。当然这种方式也适合所有的电子邮件服务器,包括Exchange Server、Imail、Qmail、NTmail、Winmail等。<br>
<br>
第一步:先下载并安装TCP-to-SSL通用转换软件Stunnel,下载地址:<a target=_blank href=http://www.stunnel.org/download/>http://www.stunnel.org/download/</a><br>
<br>
第二步:修改stunel.conf文件,如果邮件服务器没有提供IMAP或者HTTP服务,可以删除对于的部分:<br>
<br>
<br>
accept = 995<br>
; 邮件服务器IP地址和POP3端口号<br>
connect = 127.0.0.1:110<br>
<br>
<br>
accept = 993<br>
; 邮件服务器IP地址和IMAP端口号<br>
connect = 127.0.0.1:143<br>
<br>
<br>
accept = 465<br>
; 邮件服务器IP地址和SMTP端口号<br>
connect = 127.0.0.1:25<br>
<br>
<br>
accept = 443<br>
; 邮件服务器IP地址和HTTP端口号<br>
connect = 127.0.0.1:8080<br>
TIMEOUTclose = 0<br>
<br>
第三步,启动Stunel软件。如果你把Stunel安装为Service模式,则启动Stunel Service,否则启动Stunel.exe 程序<br>
<br>
第四步,如果你的邮件服务器启动了HTTP访问模式,请用浏览器访问 <a target=_blank href=HTTPS://stunel>HTTPS://stunel</a>服务器地址/,你将看到一个安全警告“您与该网站交换的信息不会被其它人查看或更改。但该网站的安全证书有问题。是否继续?”,选择“是”。这时,你的浏览器已经和邮件服务器通过SSL方式访问了。如果无法访问,请检查一下是否使用的防火墙,如果使用防火墙,请开启相应端口。 <br>
<br>
第五步,配置邮件客户端,本文已Outlook Express 6.0为例,其它邮件客户端的配置方式类似,先按照正常方式建立邮件帐户,然后按下图,选择“属性”<br>
<br><IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.myssl.cn/bbs/UploadFile/2006-4/200642415503235454.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>
在“服务器”属性页,接收邮件(POP3)和发送邮件(SMTP)的服务器都填写“stunel服务器地址”<br>
<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.myssl.cn/bbs/uploadfile/2006-4/p3.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0> <br>
<br>
选择“高级”属性页后,设置发送邮件(SMTP)端口号为465,接收邮件(POP3)端口号为995,并选择“此服务器要求安全连接(SSL)”<br>
<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.myssl.cn/bbs/UploadFile/2006-4/20064241534418345.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<br>
邮件客户端配置好了。在收发邮件时,Outlook express会出现一个“证书警告”,忽略这个警告。现在你通过SMTP发邮件和POP3收邮件都通过SSL加密保护了。<br>
<br>
为了避免证书安全警告,你接下去要申请一个正式的SSL证书,申请办法如下:<br>
<br>
第一步:下载OpenSSL,下载地址 <a target=_blank href=http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip>http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip</a><br>
<br>
第二步:解压缩到c:\openssl目录下<br>
<br>
第三步:运行cmd.exe,进入命令行窗口,运行命令:<br>
cd c:\openssl<br>
set OPENSSL_CONF= openssl.cnf<br>
openssl req -new -nodes -keyout server.key -out server.csr<br>
<br>
于是当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。<br>
在这一命令执行的过程中,系统会要求您填写如下信息:<br>
<br>
Country Name (2 letter code):使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。 <br>
<br>
State or Province Name (full name): 省份,比如填写Shanghai <br>
<br>
Locality Name (eg, city): 城市,比如填写Shanghai <br>
<br>
Organization Name (eg, company): 组织单位,比如填写公司名的拼音<br>
<br>
Organizational Unit Name (eg, section): 比如填写IT Dept<br>
<br>
Common Name (eg, your websites domain name): 行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:abc.com 是一个网站; www.abc.com 是另外一个网站; pay.abc.com 又是另外一个网站。 注意:这个服务器域名应该和邮件客户端软件设置的SMTP/POP3服务器名称一致。<br>
<br>
Email Address: 邮件地址,可以不填 <br>
<br>
A challenge password: 可以不填 <br>
<br>
An optional company name:可以不填<br>
<br>
第四步:为确认您对所申请的SSL服务器域名拥有管理权,认证系统将发电子邮件到指定的管理员邮箱中。 例如:您准备申请的SSL证书服务器域名为host.yourdomain.com,在递交申请时,请确认您可以接收 ssladmin@yourdomain.com 或者 ssladmin@host.yourdomain.com <br>
<br>
第五步:到www.myssl.cn 申请SSL证书,地址是 <a target=_blank href=http://www.myssl.cn/product/index.asp>http://www.myssl.cn/product/index.asp</a> ,递交第三步产生的server.csr,并输入申请的相关信息。<b>www.myssl.cn免费提供全球通用的SSL证书(1个月试用版)</b><br>
<br>
第六步:你将收到一份来自美国Geotrust的申请确认邮件,点击邮件中的URL,然后Approve你的申请<br>
<br>
第七步:你将收到包含证书的邮件,将邮件中“-----BEGIN CERTIFICATE-----”到“-----END CERTIFICATE-----” 部分复制到notepad.exe中,然后用保存为server.crt<br>
<br>
第八步:将第二步产生的server.key和第七步产生的server.crt,复制到Stunnel目录下,修改stunel.conf文件:<br>
cert = server.crt<br>
key = server.key<br>
<br>
第九步:重启Stunnel<br>
<br>
你再用浏览器访问<a target=_blank href=HTTPS://Stunnel>HTTPS://Stunnel</a>服务器/ 或者用Outlook express收发邮件,就没有安全警告了。<br>
<br>
<br>
注意:<br>
<br>
(1) 邮件客户端设置SMTP/POP3服务器时,名称必须与证书名字一致,否则可能无法收发邮件<br>
<br>
(2) 启用SSL后,你可以用防火墙屏蔽掉原来的POP3的110端口,来强制用户使用POP3-SSL的995端口;但是你不能屏蔽掉原来邮件服务器的SMTP的25端口,因为这个端口不仅用来给邮件客户端发邮件,也用来服务器之间投递邮件。 <br>
<br>
re:我发现Google的Gmail用的SSL...
我发现Google的Gmail用的SSL证书是GeoTrust的超真SSL企业版(True Business ID),也许GeoTrust是单根证书签发,不像Verisign是级联证书签发,因此与邮件客户端软件的兼容性更好吧。<br><br>
大家可以使用Internet Explorer打开 <a target=_blank href=https://pop.gmail.com:995/>https://pop.gmail.com:995/</a> ,鼠标右键单击屏幕,选择“属性”->“证书”试试。
re:Mdaemon不支持SSL?没必要用另外...
Mdaemon不支持SSL?没必要用另外的第三方吧,现在绝大部分邮件服务器均支持ssl<br><IMG onmouseover="javascript:if(this.width>520)this.width=520;" src="http://static.altn.com/leadbbsfile/screenshots/MDaemon/SSL_Certificates.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" src="http://static.altn.com/leadbbsfile/screenshots/MDaemon/WorldClient_SSL_certs.gif" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0> 上面好复杂啊?
MD一个软件,简单的几步,不能实现楼主上面的功能吗?
谁给我讲讲吧,多谢 会不会对收邮件速度有影响?
回覆 1樓 great2008
Mdaemon 使用 SSL 需要這樣麻煩嗎?它有內建證書,自建一下就可以用了,有現存有的還需要外掛軟件嗎?那是己經落伍了。而且對多 IP 的 Extra Domain 增加很多不便。回复 6楼 Kyan 的帖子
的确有点晕,偶以前写的。http://www.5dmail.net/bbs/viewthread.php?tid=168183&highlight=%2Bwxhsh 完全没必要这样做,有点舍本逐末的感觉。 有用啊,以后POP3-SSL/SMTP-SSL将会是主流! 不用这样啦,直接开启启用POP3-SSL/SMTP-SSL功能,然后添加一个证书就搞定.
页:
[1]