邮件服务器启用加密的方法

邮件服务器启用POP3-SSL/SMTP-SSL加密的方法服务器启用POP3-SSL/SMTP-SSL加密的方法使用Gmail时，发现Gmail的POP3-SSL/SMTP-SSL太好了，使用SSL加密技术可以防止在收发邮件时，别人窃听邮件内容。Gmail的Pop3配置方式，就是启用SSL的：=13287&topic=1555Gmail介绍如何配置foxmail接收Pop3时，要求用户使用SSL：=32230&topic=1555Gmail介绍如何配置OutlookExpress接收Pop3时，也是启用SSL的：=13276&topic=1555最近研究了一下，总结了如何在邮件服务器启用POP3-SSL/SMTP-SSL的方法。通过通过TCP-to-SSL网关软件Stunnel把pop3转为pop3-ssl，把smtp转为smtp-ssl，实现邮件服务器的SSL加密。当然这种方式也适合所有的电子邮件服务器，包括ExchangeServer、Imail、Qmail、NTmail、Winmail等。第一步：先下载并安装TCP-to-SSL通用转换软件Stunnel，下载地址：第二步：修改stunel.conf文件，如果邮件服务器没有提供IMAP或者HTTP服务，可以删除多余部分：[pop3s]accept=995;邮件服务器IP地址和POP3端口号connect=127.0.0.1:110[imaps]accept=993;邮件服务器IP地址和IMAP端口号connect=127.0.0.1:143[ssmtp]accept=465;邮件服务器IP地址和SMTP端口号connect=127.0.0.1:25[https]accept=443;邮件服务器IP地址和HTTP端口号connect=127.0.0.1:8080TIMEOUTclose=0第三步，启动Stunel软件。如果你把Stunel安装为Service模式，则启动StunelService，否则启动Stunel.exe程序第四步，如果你的邮件服务器启动了HTTP访问模式，请用浏览器访问服务器地址/，你将看到一个安全警告“您与该网站交换的信息不会被其它人查看或更改。但该网站的安全证书有问题。是否继续?”，选择“是”。这时，你的浏览器已经和邮件服务器通过SSL方式访问了。如果无法访问，请检查一下是否使用的防火墙，如果使用防火墙，请开启相应端口。第五步，配置邮件客户端，本文已OutlookExpress6.0为例，其它邮件客户端的配置方式类似，先按照正常方式建立邮件帐户，选择“属性”在“服务器”属性页，接收邮件(POP3)和发送邮件(SMTP)的服务器都填写“stunel服务器地址”选择“高级”属性页后，设置发送邮件(SMTP)端口号为465，接收邮件(POP3)端口号为995，并选择“此服务器要求安全连接(SSL)”邮件客户端配置好了。在收发邮件时，Outlookexpress会出现一个“证书警告”，忽略这个警告。现在你通过SMTP发邮件和POP3收邮件都通过SSL加密保护了。为了避免证书安全警告，你接下去要申请一个正式的SSL证书，申请办法如下：第一步：下载OpenSSL;第二步：解压缩到c:\openssl目录下第三步：运行cmd.exe，进入命令行窗口，运行命令：cdc:\opensslsetOPENSSL_CONF=openssl.cnfopensslreq-new-nodes-keyoutserver.key-outserver.csr于是当前目录下将产生两个文件：server.key和server.csr。请妥善保存这两个文件，请不要泄露server.key私钥文件。在这一命令执行的过程中，系统会要求您填写如下信息：CountryName(2lettercode):使用国际标准组织(ISO)国码格式，填写2个字母的国家代号。中国请填写CN。StateorProvinceName(fullname):省份，比如填写beijingLocalityName(eg,city):城市，比如填写beijingOrganizationName(eg,company):组织单位，比如填写公司名的拼音OrganizationalUnitName(eg,section):比如填写ITDeptCommonName(eg,yourwebsitesdomainname):行使SSL加密的网站地址。请注意这里并不是单指您的域名，而是直接使用SSL的网站名称例如:。一个网站这里定义是：abc.com是一个网站;是另外一个网站;pay.abc.com又是另外一个网站。注意：这个服务器域名应该和邮件客户端软件设置的SMTP/POP3服务器名称一致。EmailAddress:邮件地址，可以不填Achallengepassword:可以不填Anoptionalcompanyname:可以不填第四步：为确认您对所申请的SSL服务器域名拥有管理权，认证系统将发电子邮件到指定的管理员邮箱中。例如：您准备申请的SSL证书服务器域名为host.yourdomain.com，在递交申请时，请确认您可以接收ssladmin@yourdomain.com或者ssladmin@host.yourdomain.com第五步：申请SSL证书，递交第三步产生的server.csr，并输入申请的相关信息。第六步：你将收到一份来自美国Entrust的申请确认邮件，点击邮件中的URL，然后Approve你的申请第七步：你将收到包含证书的邮件，将邮件中“-----BEGINCERTIFICATE-----”到“-----ENDCERTIFICATE-----”部分复制到notepad.exe中，然后用保存为server.crt第八步：将第二步产生的server.key和第七步产生的server.crt，复制到Stunnel目录下，修改stunel.conf文件:cert=server.crtkey=server.key第九步：重启Stunnel你再用浏览器访问服务器/或者用Outlookexpress收发邮件，就没有安全警告了。注意：(1)邮件客户端设置SMTP/POP3服务器时，名称必须与证书名字一致，否则可能无法收发邮件(2)启用SSL后，你可以用防火墙屏蔽掉原来的POP3的110端口，来强制用户使用POP3-SSL的995端口;但是你不能屏蔽掉原来邮件服务器的SMTP的25端口，因为这个端口不仅用来给邮件客户端发邮件，也用来服务器之间投递邮件。本文由：数字证书整理