Этот этап очень важный и я вам рекомендую никогда не использовать передачу данных без шифрования даже в случае соединений по локальной сети. Я в статье про почтовый сервер Zimbra уделил довольно много внимания защите передачи данных в публичных сетях и вы наверное и сами понимаете к чему может привести перехват пароля от вашей почты, даже в том случае когда вам кажется, что вы ничего секретного там не передаете.
С вступлением закончили и теперь мы установим на наш сервер Nginx и Let's encrypt (Nginx мы будем использовать чуть попозже для подключения RoundCube):
# aptitude install certbot python-certbot-nginx nginx
Получаем сертификат:
# certbot certonly --nginx -d mail.gita-dev.ru
Защита трафика MTA EXIM
Настраиваем защиту трафика в MTA Exim, для чего добавляем в конфигурацию следующие параметры:
# SSL Protection tls_certificate = /etc/letsencrypt/live/mail.gita-dev.ru/fullchain.pem tls_privatekey = /etc/letsencrypt/live/mail.gita-dev.ru/privkey.pem tls_advertise_hosts = * tls_on_connect_ports=465 daemon_smtp_ports =25:465
Проверить, что защита соединения TLS работает можно простой командой:
openssl s_client -connect mail.gita-dev.ru:465 -tls1 -servername mail.gita-dev.ru
Защита трафика IMAP-сервера Dovecot
Выполняется аналогично и в файл 10-ssl.conf добавляем (или изменяем) строки:
ssl = yes ssl_cert = </etc/letsencrypt/live/mail.gita-dev.ru/fullchain.pem ssl_key = </etc/letsencrypt/live/mail.gita-dev.ru/privkey.pem
Теперь мы можем настроить наш почтовый клиент на работу по защищенному протоколу.