如何利用 SSL/TLS 保护你的 Linux 邮件服务

通常，不管你是通过简单邮件传输协议(Simple Mail Transport Protocol)（SMTP）或者互联网消息访问协议(Internet Message Access Protocol)（IMAP）或邮局协议(Post Office Protocol)（POP）发送或者接受邮件，邮件服务默认都是以无保护的明文来传输数据。近来随着数据加密成为越来越多程序的共识，你需要安全套接层(Secure Sockets Layer)/传输层安全性(Transport Layer Security)（SSL/TLS）的安全证书来保护你的邮件服务。

首先，快速回顾一下邮件服务和协议的基本流程。邮件通过 SMTP 从 TCP 端口 25 发出。这个协议依靠 DNS邮件交换服务器(Mail eXchanger)（MX）记录的地址信息来传输邮件。当邮件到达邮件服务器后，可以被以下两种服务中的任意一种检索：使用 TCP 端口 143 的 IMAP，或者使用 TCP 端口 110 的 POP3（邮局协议第 3 版）。然而，以上服务都默认使用明文传输邮件和认证信息。这非常的不安全！

为了保护电子邮件数据和认证，这些服务都增加了一个安全功能，使它们可以利用 SSL/TLS 证书对数据流和通讯进行加密封装。SSL/TLS 是如何加密数据的细节不在本文讨论范围，有兴趣的话可以阅读 Bryant Son 关于互联网安全的文章了解更多细节。概括的说，SSL/TLS 加密是一种基于公钥和私钥的算法。

通过加入这些安全功能后，这些服务将监听在新的 TCP 端口：

< 如显示不全，请左右滑动 >