Sto eseguendo la mia configurazione del server di posta elettronica:
- IMAP: Dovecot
- SMTP: Postfix
Ci sono 4 client che recuperano e-mail tramite IMAP:
- iOS (client predefinito: Apple Mail)
- Android (client predefinito)
- Mac (client predefinito: Apple Mail)
- Windows (Thunderbird)
Il problema: non voglio che questi client di posta si fidino di nessuno tranne il certificato del mio server. (Rischio MITM con CA compromessa)
C'è un modo per "non considerare" tutti i certificati, che sono stati spediti per impostazione predefinita (solo per SMTP / IMAP)?
C'è anche qualcosa come HPKP (HTTP-Public-Key-Pinning) per IMAP?
I miei domini e client di posta non "supportano" DNSSEC, ecco perché non posso usare DANE.
Sembra che solo Thunderbird abbia un add-on ("Certificate Patrol") che consente ciò che voglio. Tuttavia questo è inutile, poiché i miei altri tre client di posta non hanno un componente aggiuntivo simile.
È sufficiente che un utente malintenzionato sia in grado di ottenere da un client di posta di MITM la mia password ..
Forse dovrei passare a qualcosa come * -Challenge-Response invece di autenticazione con password semplice?