Когда вы пользуетесь почтой, злоумышленники могут перехватывать, читать и взламывать ваши письма или учетные данные. Чтобы обезопасить себя от подобных рисков, защитите почтовые соединения с помощью SSL/TLS-сертификатов. В этом разделе мы расскажем, какие соединения вам необходимо защитить и как это сделать.

Во время пути от отправителя к получателю письмо проходит через несколько пунктов, в которых оно может быть скомпрометировано. SSL/TLS-сертификаты защищают конфиденциальные данные, шифруя соединения. Чтобы обеспечить всестороннюю защиту при использовании почты, вам необходимо использовать SSL/TLS-сертификаты для защиты всей цепи передачи письма, которая включает в себя следующее:

• Соединение между браузером пользователя и веб-почтой, запущенной на веб-сервере. Для простоты мы называем это «защитой веб-почты».
• Соединение между почтовым сервером Plesk и агентом передачи почты (MTA) отправителя. Для простоты мы называем это «защитой почтового сервера Plesk».

1 Защита веб-почты

Когда вы входите в свой почтовый ящик через веб-почту, устанавливается соединение между вашим браузером и веб-почтой, запущенной на веб-сервере. Чтобы защитить пересылаемые письма и учетные записи почты от взлома, по умолчанию выполняется защита веб-почты с помощью того же самозаверенного SSL/TLS-сертификата, что используется для защиты Plesk. Самозаверенный SSL/TLS-сертификат шифрует передаваемые данные, но каждый раз при входе в веб-почту вы видите предупреждение о том, что используется ненадежный SSL/TLS-сертификат. Чтобы это предупреждение больше не показывалось, защитите веб-почту с помощью действительного SSL/TLS-сертификата.

Чтобы защитить веб-почту с помощью SSL/TLS-сертификата:

1. Получите подстановочный SSL/TLS-сертификат или сертификат SAN, который позволяет настроить имя webmail.<domain> в SAN. Для этого у вас есть несколько возможностей:

   • Получить бесплатный подстановочный сертификат от Let’s Encrypt. Если вы выберете эту опцию, пропустите шаг 2.

   Примечание: Мы настоятельно рекомендуем вам использовать эту опцию, так как с помощью одного подстановочного сертификата вы можете защитить все необходимые почтовые соединения.

   • Купить сертификат в центре сертификации.
   • Загрузить сертификат, который у вас уже есть.

2. Перейдите в раздел Почта > вкладка «Настройки почты», нажмите имя домена, выберите SSL/TLS-сертификат для веб-почты и нажмите OK.

2 Защита почтового сервера в Plesk

Уточните у своего хостинг-провайдера, защищен ли ваш почтовый сервер Plesk с помощью действительного SSL/TLS-сертификата (а не самоподписанного SSL/TLS-сертификата, который используется для защиты почтового сервера по умолчанию). При использовании такого сертификата соединение между почтовым сервером Plesk и MTA отправителя шифруется, защищая письма, которые вы получаете, от взлома.

Однако в случае, если вы не оплачиваете выделенный сервер, возникает проблема. Каждый раз, когда вы входите в свой почтовый ящик, вы видите предупреждение об использовании ненадежного SSL/TLS-сертификата. Это происходит потому, что почтовый клиент обнаруживает несоответствие между именем домена, к которому привязан сертификат (доменным именем сервера Plesk) и доменным именем почты. В результате большинство почтовых клиентов воспринимают этот сертификат как ненадежный.

Если вы используете почтовый клиент Postfix или Dovecot (в Plesk для Linux) и MailEnable (в Plesk для Windows), вы можете исправить это несоответствие, привязав SSL/TLS-сертификат к вашей почте для домена.

Для других почтовых клиентов (например, qmail или Courier) сейчас нет возможности привязать отдельный SSL/TLS-сертификат к почте для домена. Будет ли соединение с почтовым сервером в этом случае защищено ― зависит от того, как ваш почтовый клиент обрабатывает ненадежные сертификаты:

• Почтовый клиент подключается к почтовому серверу по SSL/TLS (даже если отображается предупреждение о том, что сертификат ненадежен). В этом случае соединение между вашей почтой и отправителем зашифровано и пересылаемые письма защищены от взлома.
• Почтовый клиент отклоняет соединение с почтовым сервером по SSL/TLS, и вам приходится использовать незашифрованное соединение. В этом случае ваши пересылаемые письма находятся под угрозой взлома. Мы рекомендуем вам сменить почтовый клиент на другой, который разрешает соединения по SSL/TLS, даже если сертификат ненадежен.

3 Присвоение SSL/TLS-сертификата почте для домена

Если вы используете почтовый клиент Postfix или Dovecot (в Plesk для Linux) или MailEnable (в Plesk для Windows), вы можете защитить почту для домена с помощью индивидуального SSL/TLS-сертификата. Мы рекомендуем вам сделать это, если ваш почтовый клиент показывает предупреждение о том, что SSL/TLS-сертификат, используемый для защиты почтового сервера, не удалось проверить. Как только вы защитите почту для домена отдельным SSL/TLS-сертификатом, почтовый сервер вернет сертификат, защищающий вашу почту, вместо сертификата на уровне сервера, присвоенного вашим хостинг-провайдером. В результате предупреждение больше показываться не будет.

Чтобы защитить почту для домена с помощью SSL/TLS-сертификата:

1. Получите подстановочный SSL/TLS-сертификат или сертификат SAN, который позволяет настроить имя mail.<domain> в SAN. Вы можете сделать это следующими способами:

   • Получить бесплатный сертификат от Let’s Encrypt.

   Примечание: Если вы уже получили подстановочный SSL/TLS-сертификат во время защиты веб-почты, перейдите к шагу 2, чтобы защитить почту для вашего домена с помощью этого сертификата.

   Примечание: Мы рекомендуем вам получить бесплатный подстановочный SSL/TLS-сертификат от Let’s Encrypt, так как с его помощью можно защитить не только почту для домена, но также и веб-почту, и сам домен, и несколько субдоменов (если это необходимо).

   • Купить сертификат в центре сертификации.
   • Загрузить сертификат, который у вас уже есть.

2. Перейдите в раздел Почта > вкладка «Настройки почты», нажмите имя домена, выберите SSL/TLS-сертификат для защиты почты, а затем нажмите OK.