 主页产品
GeoTrust SSL产品
QuickSSL Premium
True BusinessID
Power Server ID
RapidSSL
WildCard SSL
免费试用SSL
Verisign SSL产品
Secure Site
Secure Site Pro
Secure Site EV
Secure Site Pro EV
Code Signing
Thawte SSL产品
SSL 123
SSL Web
SSL Web EV
Code Signing
支持
技术文档资料技术解决方案联系我们
|
安全邮件套件前提现在,网络窃听太容易了!随着无线网络的普及,网络窃听愈演愈烈。接入同一个无线网络的计算机之间可以互相窃听网络数据,一个不太懂计算机专业技术的人,从网上下载免费的窃听软件,通过电信、网通、移动等公司提供的无线网络(WLAN),就可以轻易的获得其他人HTTP访问记录和内容、E-Mail帐户信息、无线上网的用户名和密码。电信、网通、移动等公司提供的无线网络(WLAN)已经成为网络帐户盗窃的温床。 传统的邮件包括信封和信本身;电子邮件则包括信头和信体。现存的端到端安全电子邮件技术(PGP)一般只对信体进行加密和签名,而信头则由于邮件传输中寻址和路由的需要,必须保证原封不动。然而,一些应用环境下,可能会要求信头在传输过程中也能保密,这就需要传输层的技术作为后盾。目前主要有两种方式实现电子邮件在传输过程中的安全,一种是利用SSL SMTP和SSL POP3,另一种是利用VPN或者其他的IP通道技术,将所有的TCP/IP传输封装起来,当然也就包括了电子邮件。VPN技术相对比较复杂,而且需要更新网关并在客户端安装软件,部署成本高,使用更复杂,而利用SSL SMTP和SSL POP3技术,则只需要在服务器端做很少的改动,而客户端不需要任何其他软件,而且使用方式和传统方式一样,是目前最容易推广的一种方案。 包括Google的Gmail在内的很多邮件服务商都开始使用SSL加密了,您也应该行动起来,避免邮件泄密。 选择证书我们推荐在安全邮件套件采用:GeoTrust QuickSSL Premium 或者 GeoTrust True BusinessID,这是因为:
技术方案本文将告诉您,如何配置邮件服务器,让POP3、SMTP、IMAP、HTTP都启用SSL保护,免受网络窃听,避免资料被盗窃。本文的方式适合所有的电子邮件服务器,包括Exchange Server、Imail、Qmail、NTmail、MDaemon、Winmail等。 第一步:先下载并安装TCP-to-SSL通用转换软件Stunnel,下载地址:这里。 第二步:修改stunel.conf文件,如果邮件服务器没有提供IMAP或者HTTP服务,可以删除对于的部分: [pop3s] [imaps] [ssmtp] [https] 第三步,启动Stunel软件。如果你把Stunel安装为Service模式,则启动Stunel Service,否则启动Stunel.exe 程序 第四步,如果你的邮件服务器启动了HTTP访问模式,请用浏览器访问 HTTPS://stunel服务器地址/,你将看到一个安全警告“您与该网站交换的信息不会被其它人查看或更改。但该网站的安全证书有问题。是否继续?”,选择“是”。这时,你的浏览器已经和邮件服务器通过SSL方式访问了。如果无法访问,请检查一下是否使用的防火墙,如果使用防火墙,请开启相应端口。 第五步,配置邮件客户端,本文已Outlook Express 6.0为例,其它邮件客户端的配置方式类似,先按照正常方式建立邮件帐户,然后按下图,选择“属性” 在“服务器”属性页,接收邮件(POP3)和发送邮件(SMTP)的服务器都填写“stunel服务器地址” 选择“高级”属性页后,设置发送邮件(SMTP)端口号为465,接收邮件(POP3)端口号为995,并选择“此服务器要求安全连接(SSL)” 邮件客户端配置好了。在收发邮件时,Outlook express会出现一个“证书警告”,忽略这个警告。现在你通过SMTP发邮件和POP3收邮件都通过SSL加密保护了。 为了避免证书安全警告,你接下去要申请一个正式的SSL证书,申请办法如下:第一步:下载OpenSSL,下载地址 http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip 第二步:解压缩到c:\openssl目录下 第三步:运行cmd.exe,进入命令行窗口,运行命令: cd c:\openssl set OPENSSL_CONF= openssl.cnf openssl req -new -nodes -keyout server.key -out server.csr 于是当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。 在这一命令执行的过程中,系统会要求您填写如下信息: Country Name (2 letter code):使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。 State or Province Name (full name): 省份,比如填写Shanghai Locality Name (eg, city): 城市,比如填写Shanghai Organization Name (eg, company): 组织单位,比如填写公司名的拼音 Organizational Unit Name (eg, section): 比如填写IT Dept Common Name (eg, your websites domain name): 行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:abc.com 是一个网站; www.abc.com 是另外一个网站; pay.abc.com 又是另外一个网站。 注意:这个服务器域名应该和邮件客户端软件设置的SMTP/POP3服务器名称一致。 Email Address: 邮件地址,可以不填 A challenge password: 可以不填 An optional company name:可以不填 第四步:为确认您对所申请的SSL服务器域名拥有管理权,认证系统将发电子邮件到指定的管理员邮箱中。 例如:您准备申请的SSL证书服务器域名为host.yourdomain.com,在递交申请时,请确认您可以接收 ssladmin@yourdomain.com 或者 ssladmin@host.yourdomain.com 第五步:到 这里 申请SSL证书 ,递交第三步产生的server.csr,并输入申请的相关信息 第六步:你将收到一份来自美国Geotrust的申请确认邮件,点击邮件中的URL,然后Approve你的申请 第七步:你将收到包含证书的邮件,将邮件中“-----BEGIN CERTIFICATE-----”到“-----END CERTIFICATE-----” 部分复制到notepad.exe中,然后用保存为server.crt 第八步:将第二步产生的server.key和第七步产生的server.crt,复制到Stunnel目录下,修改stunel.conf文件: cert = server.crt key = server.key 第九步:重启Stunnel 你再用浏览器访问HTTPS://Stunnel服务器/ 或者用Outlook express收发邮件,就没有安全警告了。 注意: (1) 邮件客户端设置SMTP/POP3服务器时,名称必须与证书名字一致,否则可能无法收发邮件 (2) 启用SSL后,你可以用防火墙屏蔽掉原来的POP3的110端口,来强制用户使用POP3-SSL的995端口;但是你不能屏蔽掉原来邮件服务器的SMTP的25端口,因为这个端口不仅用来给邮件客户端发邮件,也用来服务器之间投递邮件。 |
|