Какие проблемы могут возникнуть при использовании самоподписанного сертификата на почтовом сервере?

Question

[x2sp]

Встал вопрос поднятия ssl на mdaemon-e. Хотелось бы понять, могу ли я использовать самоподписанный сертификат и выставлять его наружу? Доступ к почте происходит либо через впн сети, либо через локальную сеть. Но один из новых сервисов на отрез отказывается работать без ssl. Какие могут быть проблемы c почтовым сервером в данном случаи?

Спасибо.

Answer 1

[Владимир Дубровин]

При использовании SSL на SMTP в некоторых случаях будет fallback на протокол без шифрования, если отправляющая сторона не принимает самоподписанный сертификат. Это не частный случай, т.е. обычно релеи не проверяют сертификат. Но в любом случае это лучше чем совсем без SSL.
+ придется устанавливать свой сертификат в список доверенных на всех клиентах.

Comments

[x2sp]

Владимир, добрый день. Учитывая что днс имя и ип адрес в сертификате мы будет указывать на внешнее подключение (к примеру 80.55.33.66 mail.contoso.com), но все пользователи подключаются изнутри по локальной сети ( 192.168.1.2 mail.contoso.local), будут ли проблемы? В том числе и этот сервис будет изнутри на локальный адрес почтового сервера обращаться.

[Владимир Дубровин]

x2sp: Да, с этим могут быть проблемы, зависит от почтового клиента. Не во всех клиентах есть возможность разрешить использовать сертификат при несовпадении имен. Решить это можно создав stub-зону для mail.contoso.com на внутренних DNS-серверах, в которой поменять адреса сервера на внутренний и использовать и во внешней и во внутренней сети mail.contoso.com в качестве почтового сервера.

[x2sp]

А разве в сертификате не будет указан публичный адрес (80.55.33.66) и ошибка останется?

[Владимир Дубровин]

x2sp: если вы подключаетесь по имени сервера, то в сертификате должно быть указано имя сервера, IP адрес при этом не важен.

[x2sp]

Владимир, опасаюсь и в принципе это нормально. Какие именно плюсы может дать сертификат СА на корпоративной почте. В данном случаи больше опасаюсь именно бан-листов, не могут ли списки собираться информацию о том, что сертификат не проходит авторизацию?

[Владимир Дубровин]

x2sp: нет, использование самоподписанного сертификата по факту не влияет на доставляемость, черные списки и т.п.
У использования сертификата CA плюсы в том, что не надо устанавливать корневой сертификат на клиентах.

[x2sp]

Спасибо

Answer 2

[Сергей]

никаких. для личных нужд пофигу что в там себе подписываете. просто добавьте корневой сертификат в доверенные центры и живите спокойно

Comments

[x2sp]

Сергей, добрый день. На данный момент так как TLS отключен мы SMTP test получаем ошибку. "SMTP TLS Warning - Does not support TLS." Не могу ли у нас возникнуть проблемы с бан листами, если данный сертификат не будет проходить как доверенный?