使用 SSL/TLS 證書保護 Web 郵箱和郵件的安全
當您使用郵件時,不當行為可以截取、閱讀和篡改您的電子郵件或電子郵件驗證憑據,從而竊取您的機密資訊。使用 SSL/TLS 證書保護郵件連接能夠讓您高枕無憂。此主題闡述了您需要保護的連接以及如何保護的方式。
一封電子郵件從寄件者到收件人的整個路徑包有多個可能被破壞的點。SSL/TLS 證書通過加密連接可以保護敏感性資料。想要在使用郵件時得到全方位的保護,需要使用 SSL/TLS 證書保護整個郵件傳輸鏈,以下是組成部分:
- 用戶瀏覽器和在 web 伺服器上運行的 web 郵箱之間的連接。簡單起見,我們稱之為」保護 web 郵箱的安全」。
- Plesk 郵件伺服器和寄件者的 MTA 之間的連接。簡單起見,我們稱之為 「保護 Plesk 郵件伺服器的安全」。
1 保護 web 郵箱的安全
當您通過 web 郵箱存取您的郵箱時,會在您的瀏覽器和在 web 伺服器上運行的 web 郵箱之間建立連接。為了保護被傳輸電子郵件和電子郵件驗證憑據不被破壞,默認會使用保護 Plesk 安全的相同的自簽名 SSL/TLS 證書保護 web 郵箱的安全。該自簽名 SSL/TLS 證書會加密被傳輸的資料,但是每次存取 web 郵箱時都會看到有關不信任的 SSL/TLS 證書的警告。為了不再看到此警告資訊,請使用有效的 SSL/TLS 證書保護 web 郵箱的安全。
若要使用 SSL/TLS 證書保護 Web 郵箱的安全,請如下操作:
-
獲取一個萬用字元 SSL/TLS 證書或允許在 SAN 中配置
webmail.<domain>
的 SAN 證書。您可以通過以下方式實現:- 從 Let’s Encrypt 獲取免費的萬用字元證書。如果您選擇此選項,請跳過第 2 步驟。
備註: 我們強烈推薦此選項,因為一個萬用字元證書可以保護所有必要的郵件連接。
-
轉到 郵件 > 「郵件設定」 標籤,點按域名,選擇用於 web 郵箱的 SSL/TLS 證書,然後點按 確定。
2 保護 Plesk 中郵件伺服器的安全
詢問您的主機提供商他們是否已使用了有效的 SSL/TLS 證書(而不是使用默認保護郵件伺服器所用的自簽名 SSL/TLS 證書)保護 Plesk 郵件伺服器的安全。這會加密 Plesk 郵件伺服器和寄件者的 MTA 之間的連接,保護您接收的郵件不被攔截。
但是,除非您付費使用獨立伺服器,否則會有一個缺點。您每次存取郵箱,都會看到有關不信任的 SSL/TLS 證書的警告資訊。會發生此種情況的原因是,郵件用戶端檢測到被分配證書的域名(Plesk 伺服器的域名)和郵件的域名不匹配。所以,大部分郵件用戶端會將郵件伺服器憑證視作不信任的證書。
如果您使用 Postfix 和 Dovecot 郵件用戶端(在 Plesk for Linux 中)以及 MailEnable(在 Plesk for Windows 中),您可以通過給一個域名的單個郵件分配 SSL/TLS 證書來修復證書不匹配的問題。
對於其它郵件用戶端(例如 qmail 或 Courier),目前無法實現給域名的單個郵件分配獨立的 SSL/TLS 證書。郵件伺服器的連接是否已受安全保護取決於郵件用戶端如何處理不受信任的證書:
- 郵件用戶端通過 SSL/TLS 連接了郵件伺服器(即使可能顯示證書不受信任的警告資訊)。在此種情況下,您的郵件和寄件者之間的連接會加密,且被傳輸的電子郵件會受到保護不被攔截。
- 郵件用戶端拒絕了通過 SSL/TLS 連接郵件伺服器,且您不得不使用未加密的連接。在此種情況下,您傳輸的電子郵件會容易被截獲。我們建議您將郵件用戶端更改為即使在證書不被信任的情況下仍允許通過 SSL/TLS 進行連接的用戶端。
備註: 還有一個辦法可以修復證書不匹配的問題。如果您在 Plesk 中使用郵件伺服器,則可以配置您的郵件用戶端使用伺服器域名。例如,伺服器域名是 server.com
而您的域名是 example.com
。如果郵件伺服器使用分配給 server.com
的 SSL/TLS 證書保護安全,請在郵件用戶端設定中將郵件伺服器的域名從 mail.example.com
更改為 server.com
。
3 將 SSL/TLS 證書分配給一個域名的郵件
如果您使用 Postfix 和 Dovecot 郵件用戶端(在 Plesk for Linux 中)以及 MailEnable(在 Plesk for Windows 中),您可以使用單個 SSL/TLS 證書保護用於域名的郵件的安全。如果您的郵件用戶端顯示警告提示無法核實保護郵件伺服器的 SSL/TLS 證書,我們建議您執行此操作。您使用單個 SSL/TLS 證書保護了用於域名的郵件的安全後,郵件伺服器將返回保護您郵件安全的證書而不是主機提供商分配的伺服器範圍的證書。所以,將不再顯示警告資訊。
備註: 保護用於域名的郵件的 SSL/TLS 證書只有在 Plesk 郵件伺服器也使用 SSL/TLS 證書保護安全的情況下才會加密連接。詢問您的主機提供商看他們是否已經使用有效的 SSL/TLS 證書保護 Plesk 郵件伺服器的安全。
若要使用 SSL/TLS 證書保護用於域名的郵件的安全,請如下操作:
-
獲取一個萬用字元 SSL/TLS 證書或允許在 SAN 中配置
mail.<domain>
的 SAN 證書。您可以通過以下方式實現:備註: 如果您在保護 web 郵箱安全時已經有一個萬用字元 SSL/TLS 證書了,則請轉到第 2 步驟使用此證書保護用於域名的郵件的安全。
備註: 我們推薦從 Let’s Encrypt 獲取免費的萬用字元 SSL/TLS 證書,因為此證書不僅可以單獨保護用於域名的郵件,還可以保護 web 郵箱、域名本身和多個子域名(如果需要)。
-
轉到 郵件 > 「郵件設定」 標籤,點按域名,選擇用於郵件的 SSL/TLS 證書,然後點按 確定。