Una de las mejores formas de encriptar los passwords y tu información que circula entre el cliente de correo y el mail server, es estableciendo los certificados ssl apropiados.
Hay varias formas de manejar tus preferencias con los certificados, una es crear tu certificado, dejarlo como está, usar una autoridad certificadora gratuita ó comprar un certificado
Dejarlo como está:
Los usuarios recibirán advertencias informándoles que el certificado es invalido y no concuerda con el nombre del servidor
* Ventajas: flojo, no cuesta nada
* Desventajas: Algunos clientes de correo rechazan el certificado por que no concuerda el nombre del servidor
* Conclusión: Sólo has esto si no te importa que suceda con el mail server
Crear un certificado auto firmado :
Los usuarios les dará a tus usuarios un certificado con el nombre apropiado para tu mail server
* Ventajas: "un poco de trabajo", no cuesta
* Desventaja: Estarás entrenando a tus usuarios a que acepten cualquier certificado
* Conclusión: Has esto si tienes un pequeño grupo de usuarios a los cuales les puedas informar acerca el certificado (o configurar personalmente los clientes de correo)
Crear certificados SSL puede ser tan sencillo como aplicar un comando:
Dovecot
Este comando crea el certificado SSL para dovecot (10 años 365X10=3650):
No olvides establecer los permisos adecuados para mantener segura de mirones a tu llave privada:
Tendrás que reiniciar Dovecot para que el servicio lea el nuevo certificado
Postfix
Para crear un certificado en postfix:
No olvides establecer los permisos adecuados para mantener segura de mirones a tu llave privada:
Después de esto necesitas indicarle a Postfix en donde encontrar tu certificado y llave privada ya que por default busca un certificado llamado "ssl-certsnakeoil" :
Usar una autoridad certificadora gratuita :
* Ventajas: Un poco de trabajo, no cuesta
* Desventajas: estos certificados no están incluidos en todos los clientes de correo
* Conclusión: Si no quieres gastar dinero esta es tu mejor elección
Hay gran variedad de servicios gratuitos como este, uno de ellos es http://www.startssl.com/
Comprar un certificado SSL
* Ventajas: el certificado será aceptado automáticamente por todos los clientes de correo
* Desventajas: Inviertes bastante dinero en la mafia de los certificados web
* Conclusión: Has esto si te quieres ver profesional en tu servidor de correo y no quieres tener problemas con usuarios
Depende de tu política de administración del mail server, elegir cual de las anteriores estrategias es la idónea para usar.
Hay varias formas de manejar tus preferencias con los certificados, una es crear tu certificado, dejarlo como está, usar una autoridad certificadora gratuita ó comprar un certificado
Dejarlo como está:
Los usuarios recibirán advertencias informándoles que el certificado es invalido y no concuerda con el nombre del servidor
* Ventajas: flojo, no cuesta nada
* Desventajas: Algunos clientes de correo rechazan el certificado por que no concuerda el nombre del servidor
* Conclusión: Sólo has esto si no te importa que suceda con el mail server
Crear un certificado auto firmado :
Los usuarios les dará a tus usuarios un certificado con el nombre apropiado para tu mail server
* Ventajas: "un poco de trabajo", no cuesta
* Desventaja: Estarás entrenando a tus usuarios a que acepten cualquier certificado
* Conclusión: Has esto si tienes un pequeño grupo de usuarios a los cuales les puedas informar acerca el certificado (o configurar personalmente los clientes de correo)
Crear certificados SSL puede ser tan sencillo como aplicar un comando:
Dovecot
Este comando crea el certificado SSL para dovecot (10 años 365X10=3650):
openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/dovecot.pem -keyout /etc/ssl/private/dovecot.pem
No olvides establecer los permisos adecuados para mantener segura de mirones a tu llave privada:
chmod o= /etc/ssl/private/dovecot.pem
Tendrás que reiniciar Dovecot para que el servicio lea el nuevo certificado
/etc/init.d/dovecot restart
Postfix
Para crear un certificado en postfix:
openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/postfix.pem -keyout /etc/ssl/private/postfix.pem
No olvides establecer los permisos adecuados para mantener segura de mirones a tu llave privada:
chmod o= /etc/ssl/private/postfix.pem
Después de esto necesitas indicarle a Postfix en donde encontrar tu certificado y llave privada ya que por default busca un certificado llamado "ssl-certsnakeoil" :
postconf -e smtpd_tls_cert_file=/etc/ssl/certs/postfix.pem postconf -e smtpd_tls_key_file=/etc/ssl/private/postfix.pem
Usar una autoridad certificadora gratuita :
* Ventajas: Un poco de trabajo, no cuesta
* Desventajas: estos certificados no están incluidos en todos los clientes de correo
* Conclusión: Si no quieres gastar dinero esta es tu mejor elección
Hay gran variedad de servicios gratuitos como este, uno de ellos es http://www.startssl.com/
Comprar un certificado SSL
* Ventajas: el certificado será aceptado automáticamente por todos los clientes de correo
* Desventajas: Inviertes bastante dinero en la mafia de los certificados web
* Conclusión: Has esto si te quieres ver profesional en tu servidor de correo y no quieres tener problemas con usuarios
Depende de tu política de administración del mail server, elegir cual de las anteriores estrategias es la idónea para usar.
No hay comentarios:
Publicar un comentario