Client di posta: blocco della chiave pubblica

5

Sto eseguendo la mia configurazione del server di posta elettronica:
- IMAP: Dovecot
- SMTP: Postfix

Ci sono 4 client che recuperano e-mail tramite IMAP:
- iOS (client predefinito: Apple Mail)
- Android (client predefinito)
- Mac (client predefinito: Apple Mail)
- Windows (Thunderbird)

Il problema: non voglio che questi client di posta si fidino di nessuno tranne il certificato del mio server. (Rischio MITM con CA compromessa)
C'è un modo per "non considerare" tutti i certificati, che sono stati spediti per impostazione predefinita (solo per SMTP / IMAP)?

C'è anche qualcosa come HPKP (HTTP-Public-Key-Pinning) per IMAP?
I miei domini e client di posta non "supportano" DNSSEC, ecco perché non posso usare DANE.

Sembra che solo Thunderbird abbia un add-on ("Certificate Patrol") che consente ciò che voglio. Tuttavia questo è inutile, poiché i miei altri tre client di posta non hanno un componente aggiuntivo simile.
È sufficiente che un utente malintenzionato sia in grado di ottenere da un client di posta di MITM la mia password ..

Forse dovrei passare a qualcosa come * -Challenge-Response invece di autenticazione con password semplice?

    
posta Ben Richard 03.06.2015 - 18:14
fonte

1 risposta

2

Nessun dado Non penso che troverai un modo per bloccare il certificato del server di posta su tutti questi client. A meno che non si blocchino le cert del dispositivo, memorizza solo solo il proprio certificato CA. E questo funzionerebbe. Ma significherebbe anche che il normale HTTPS smetterebbe di funzionare.

VPN invece? Potresti invece mettere il tuo server di posta dietro una VPN? Questo dovrebbe essere più facile da inchiodare a un cert specifico sui client.

    
risposta data 03.06.2015 - 21:41
fonte

Leggi altre domande sui tag