当您使用邮件时,不当行为可以截取、阅读和篡改您的电子邮件或电子邮件验证凭据,从而窃取您的机密信息。使用 SSL/TLS 证书保护邮件连接能够让您高枕无忧。此主题阐述了您需要保护的连接以及如何保护的方式。

一封电子邮件从发件人到收件人的整个路径包有多个可能被破坏的点。SSL/TLS 证书通过加密连接可以保护敏感数据。想要在使用邮件时得到全方位的保护,需要使用 SSL/TLS 证书保护整个邮件传输链,以下是组成部分:

  • 用户浏览器和在 web 服务器上运行的 web 邮箱之间的连接。简单起见,我们称之为”保护 web 邮箱的安全”。
  • Plesk 邮件服务器和发件人的 MTA 之间的连接。简单起见,我们称之为 “保护 Plesk 邮件服务器的安全”。

1 保护 web 邮箱的安全

当您通过 web 邮箱访问您的邮箱时,会在您的浏览器和在 web 服务器上运行的 web 邮箱之间建立连接。为了保护被传输电子邮件和电子邮件验证凭据不被破坏,默认会使用保护 Plesk 安全的相同的自签名 SSL/TLS 证书保护 web 邮箱的安全。该自签名 SSL/TLS 证书会加密被传输的数据,但是每次访问 web 邮箱时都会看到有关不信任的 SSL/TLS 证书的警告。为了不再看到此警告信息,请使用有效的 SSL/TLS 证书保护 web 邮箱的安全。

若要使用 SSL/TLS 证书保护 Web 邮箱的安全,请如下操作:

  1. 获取一个通配符 SSL/TLS 证书或允许在 SAN 中配置 webmail.<domain> 的 SAN 证书。您可以通过以下方式实现:

    注解: 我们强烈推荐此选项,因为一个通配符证书可以保护所有必要的邮件连接。

  2. 转到 邮件 > “邮件设置” 标签,点击域名,选择用于 web 邮箱的 SSL/TLS 证书,然后点击 确定

2 保护 Plesk 中邮件服务器的安全

询问您的主机提供商他们是否已使用了有效的 SSL/TLS 证书(而不是使用默认保护邮件服务器所用的自签名 SSL/TLS 证书)保护 Plesk 邮件服务器的安全。这会加密 Plesk 邮件服务器和发件人的 MTA 之间的连接,保护您接收的邮件不被拦截。

但是,除非您付费使用独立服务器,否则会有一个缺点。您每次访问邮箱,都会看到有关不信任的 SSL/TLS 证书的警告信息。会发生此种情况的原因是,邮件客户端检测到被分配证书的域名(Plesk 服务器的域名)和邮件的域名不匹配。所以,大部分邮件客户端会将邮件服务器证书视作不信任的证书。

如果您使用 Postfix 和 Dovecot 邮件客户端(在 Plesk for Linux 中)以及 MailEnable(在 Plesk for Windows 中),您可以通过给一个域名的单个邮件分配 SSL/TLS 证书来修复证书不匹配的问题。

对于其它邮件客户端(例如 qmail 或 Courier),目前无法实现给域名的单个邮件分配独立的 SSL/TLS 证书。邮件服务器的连接是否已受安全保护取决于邮件客户端如何处理不受信任的证书:

  • 邮件客户端通过 SSL/TLS 连接了邮件服务器(即使可能显示证书不受信任的警告信息)。在此种情况下,您的邮件和发件人之间的连接会加密,且被传输的电子邮件会受到保护不被拦截。
  • 邮件客户端拒绝了通过 SSL/TLS 连接邮件服务器,且您不得不使用未加密的连接。在此种情况下,您传输的电子邮件会容易被截获。我们建议您将邮件客户端更改为即使在证书不被信任的情况下仍允许通过 SSL/TLS 进行连接的客户端。

注解: 还有一个办法可以修复证书不匹配的问题。如果您在 Plesk 中使用邮件服务器,则可以配置您的邮件客户端使用服务器域名。例如,服务器域名是 server.com 而您的域名是 example.com。如果邮件服务器使用分配给 server.com``的 SSL/TLS 证书保护安全,请在邮件客户端设置中将邮件服务器的域名从 ``mail.example.com 更改为 server.com

3 将 SSL/TLS 证书分配给一个域名的邮件

如果您使用 Postfix 和 Dovecot 邮件客户端(在 Plesk for Linux 中)以及 MailEnable(在 Plesk for Windows 中),您可以使用单个 SSL/TLS 证书保护用于域名的邮件的安全。如果您的邮件客户端显示警告提示无法核实保护邮件服务器的 SSL/TLS 证书,我们建议您执行此操作。您使用单个 SSL/TLS 证书保护了用于域名的邮件的安全后,邮件服务器将返回保护您邮件安全的证书而不是主机提供商分配的服务器范围的证书。所以,将不再显示警告信息。

注解: 保护用于域名的邮件的 SSL/TLS 证书只有在 Plesk 邮件服务器也使用 SSL/TLS 证书保护安全的情况下才会加密连接。询问您的主机提供商看他们是否已经使用有效的 SSL/TLS 证书保护 Plesk 邮件服务器的安全。

若要使用 SSL/TLS 证书保护用于域名的邮件的安全,请如下操作:

  1. 获取一个通配符 SSL/TLS 证书或允许在 SAN 中配置 mail.<domain> 的 SAN 证书。您可以通过以下方式实现:

    注解: 如果您在保护 web 邮箱安全时已经有一个通配符 SSL/TLS 证书了,则请转到第 2 步骤使用此证书保护用于域名的邮件的安全。

    注解: 我们推荐从 Let’s Encrypt 获取免费的通配符 SSL/TLS 证书,因为此证书不仅可以单独保护用于域名的邮件,还可以保护 web 邮箱、域名本身和多个子域名(如果需要)。

  2. 转到 邮件 > “邮件设置” 标签,点击域名,选择用于邮件的 SSL/TLS 证书,然后点击 确定