Защита почты и веб-почты с помощью SSL/TLS-сертификатов
Когда вы пользуетесь почтой, злоумышленники могут перехватывать, читать и взламывать ваши письма или учетные данные. Чтобы обезопасить себя от подобных рисков, защитите почтовые соединения с помощью SSL/TLS-сертификатов. В этом разделе мы расскажем, какие соединения вам необходимо защитить и как это сделать.
Во время пути от отправителя к получателю письмо проходит через несколько пунктов, в которых оно может быть скомпрометировано. SSL/TLS-сертификаты защищают конфиденциальные данные, шифруя соединения. Чтобы обеспечить всестороннюю защиту при использовании почты, вам необходимо использовать SSL/TLS-сертификаты для защиты всей цепи передачи письма, которая включает в себя следующее:
- Соединение между браузером пользователя и веб-почтой, запущенной на веб-сервере. Для простоты мы называем это «защитой веб-почты».
- Соединение между почтовым сервером Plesk и агентом передачи почты (MTA) отправителя. Для простоты мы называем это «защитой почтового сервера Plesk».
1 Защита веб-почты
Когда вы входите в свой почтовый ящик через веб-почту, устанавливается соединение между вашим браузером и веб-почтой, запущенной на веб-сервере. Чтобы защитить пересылаемые письма и учетные записи почты от взлома, по умолчанию выполняется защита веб-почты с помощью того же самозаверенного SSL/TLS-сертификата, что используется для защиты Plesk. Самозаверенный SSL/TLS-сертификат шифрует передаваемые данные, но каждый раз при входе в веб-почту вы видите предупреждение о том, что используется ненадежный SSL/TLS-сертификат. Чтобы это предупреждение больше не показывалось, защитите веб-почту с помощью действительного SSL/TLS-сертификата.
Чтобы защитить веб-почту с помощью SSL/TLS-сертификата:
-
Получите подстановочный SSL/TLS-сертификат или сертификат SAN, который позволяет настроить имя
webmail.<domain>
в SAN. Для этого у вас есть несколько возможностей:- Получить бесплатный подстановочный сертификат от Let’s Encrypt. Если вы выберете эту опцию, пропустите шаг 2.
Примечание: Мы настоятельно рекомендуем вам использовать эту опцию, так как с помощью одного подстановочного сертификата вы можете защитить все необходимые почтовые соединения.
-
Перейдите в раздел Почта > вкладка «Настройки почты», нажмите имя домена, выберите SSL/TLS-сертификат для веб-почты и нажмите OK.
2 Защита почтового сервера в Plesk
Уточните у своего хостинг-провайдера, защищен ли ваш почтовый сервер Plesk с помощью действительного SSL/TLS-сертификата (а не самоподписанного SSL/TLS-сертификата, который используется для защиты почтового сервера по умолчанию). При использовании такого сертификата соединение между почтовым сервером Plesk и MTA отправителя шифруется, защищая письма, которые вы получаете, от взлома.
Однако в случае, если вы не оплачиваете выделенный сервер, возникает проблема. Каждый раз, когда вы входите в свой почтовый ящик, вы видите предупреждение об использовании ненадежного SSL/TLS-сертификата. Это происходит потому, что почтовый клиент обнаруживает несоответствие между именем домена, к которому привязан сертификат (доменным именем сервера Plesk) и доменным именем почты. В результате большинство почтовых клиентов воспринимают этот сертификат как ненадежный.
Если вы используете почтовый клиент Postfix или Dovecot (в Plesk для Linux) и MailEnable (в Plesk для Windows), вы можете исправить это несоответствие, привязав SSL/TLS-сертификат к вашей почте для домена.
Для других почтовых клиентов (например, qmail или Courier) сейчас нет возможности привязать отдельный SSL/TLS-сертификат к почте для домена. Будет ли соединение с почтовым сервером в этом случае защищено ― зависит от того, как ваш почтовый клиент обрабатывает ненадежные сертификаты:
- Почтовый клиент подключается к почтовому серверу по SSL/TLS (даже если отображается предупреждение о том, что сертификат ненадежен). В этом случае соединение между вашей почтой и отправителем зашифровано и пересылаемые письма защищены от взлома.
- Почтовый клиент отклоняет соединение с почтовым сервером по SSL/TLS, и вам приходится использовать незашифрованное соединение. В этом случае ваши пересылаемые письма находятся под угрозой взлома. Мы рекомендуем вам сменить почтовый клиент на другой, который разрешает соединения по SSL/TLS, даже если сертификат ненадежен.
Примечание: Есть еще один способ устранить несоответствие сертификатов. Если вы используете почтовый сервер в Plesk, вы можете настроить свой почтовый клиент на использование доменного имени сервера. Например, предположим, что домен сервера ― server.com
, а ваш индивидуальный домен ― example.com
. Если почтовый сервер защищен с помощью SSL/TLS-сертификата, привязанного к домену server.com
, измените доменное имя почтового сервера с mail.example.com
на server.com
в настройках почтового клиента.
3 Присвоение SSL/TLS-сертификата почте для домена
Если вы используете почтовый клиент Postfix или Dovecot (в Plesk для Linux) или MailEnable (в Plesk для Windows), вы можете защитить почту для домена с помощью индивидуального SSL/TLS-сертификата. Мы рекомендуем вам сделать это, если ваш почтовый клиент показывает предупреждение о том, что SSL/TLS-сертификат, используемый для защиты почтового сервера, не удалось проверить. Как только вы защитите почту для домена отдельным SSL/TLS-сертификатом, почтовый сервер вернет сертификат, защищающий вашу почту, вместо сертификата на уровне сервера, присвоенного вашим хостинг-провайдером. В результате предупреждение больше показываться не будет.
Примечание: SSL/TLS-сертификат, защищающий почту для домена, шифрует соединение, только если почтовый сервер также защищен SSL/TLS-сертификатом. Уточните у своего хостинг-провайдера, защищен ли почтовый сервер Plesk действительным SSL/TLS-сертификатом.
Чтобы защитить почту для домена с помощью SSL/TLS-сертификата:
-
Получите подстановочный SSL/TLS-сертификат или сертификат SAN, который позволяет настроить имя
mail.<domain>
в SAN. Вы можете сделать это следующими способами:Примечание: Если вы уже получили подстановочный SSL/TLS-сертификат во время защиты веб-почты, перейдите к шагу 2, чтобы защитить почту для вашего домена с помощью этого сертификата.
Примечание: Мы рекомендуем вам получить бесплатный подстановочный SSL/TLS-сертификат от Let’s Encrypt, так как с его помощью можно защитить не только почту для домена, но также и веб-почту, и сам домен, и несколько субдоменов (если это необходимо).
-
Перейдите в раздел Почта > вкладка «Настройки почты», нажмите имя домена, выберите SSL/TLS-сертификат для защиты почты, а затем нажмите OK.