如何利用 SSL/TLS 保护你的 Linux 邮件服务

通过理解安全证书来保护你的 Linux 邮件服务。

通常，不管你是通过 简单邮件传输协议 Simple Mail Transport Protocol （SMTP）或者 互联网消息访问协议 Internet Message Access Protocol （IMAP）或 邮局协议 Post Office Protocol （POP）发送或者接受邮件，邮件服务默认都是以无保护的明文来传输数据。近来随着数据加密成为越来越多程序的共识，你需要 安全套接层 Secure Sockets Layer / 传输层安全性 Transport Layer Security （SSL/TLS）的安全证书来保护你的邮件服务。

首先，快速回顾一下邮件服务和协议的基本流程。邮件通过 SMTP 从 TCP 端口 25 发出。这个协议依靠 DNS 邮件交换服务器 Mail eXchanger （MX）记录的地址信息来传输邮件。当邮件到达邮件服务器后，可以被以下两种服务中的任意一种检索：使用 TCP 端口 143 的 IMAP，或者使用 TCP 端口 110 的 POP3（邮局协议第 3 版）。然而，以上服务都默认使用明文传输邮件和认证信息。这非常的不安全！

为了保护电子邮件数据和认证，这些服务都增加了一个安全功能，使它们可以利用 SSL/TLS 证书对数据流和通讯进行加密封装。SSL/TLS 是如何加密数据的细节不在本文讨论范围，有兴趣的话可以阅读 Bryant Son 关于互联网安全的文章了解更多细节。概括的说，SSL/TLS 加密是一种基于公钥和私钥的算法。

通过加入这些安全功能后，这些服务将监听在新的 TCP 端口：

服务	默认 TCP 端口	SSL/TLS 端口

via: https://opensource.com/article/20/4/securing-linux-email

作者：Marc Skinner 选题：lujun9972 译者：Acceleratorrrr 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出