Электронная почта по-прежнему остается основным средством обмена информацией, но доверяя ей большие секреты не редко забывают об элементарных приемах защиты. И в первую очередь о необходимости шифрования трафика, позволяющем избежать перехвата сообщений.
По умолчанию все почтовые сервера передают аутентификационные данные и текст в открытом виде, то есть любой их может перехватить и прочитать.
Использование вместо пароля — хэша ситуацию не меняет, так как мощности современных компьютеров позволяют быстро вычислить пароль на основе хэша. Поэтому нужно защищаться. Вариантов несколько. Самый простой — использовать стандартные механизмы позволяющие шифровать SMTP/POP3/IMAP трафик. Такая функция сегодня поддерживается всеми серверами — Postfix, Sendmail, Dovecot, Courier, Cyrus и другими. Альтернативный или дополнительный шаг —шифрование писем на стороне клиента — при помощи PGP/GPG или S/MIME. Хотя он и не так прозрачен для пользователя и требует определенного обучения и дисциплины. Еще один способ VPN. Но все эти способы в той или иной мере требуют внесения изменений в текущую конфигурацию сети или почтовых программ.
Есть перестройки невозможны или не желательны на помощь приходят специальные шлюзы автоматически шифрующие исходящий почтовый трафик. Среди OpenSource проектов популярен CipherMail Email Encryption Gateway (до июня 2014 — Djigzo Email Encryption Gateway) обеспечивающий шифрование при помощи S/MIME, OpenPGP, защиту PDF и управление при помощи веб-интерфейса. Дополнительный модуль DLP (Data Leak Prevention) позволяет предотвратить выход за пределы организации конфиденциальной информации: номера кредитных карт, банковских счетов, больших списков адресов электронной почты и многое другое. Шлюз можно установить на большинстве Unix систем поддерживающих Java 6/7 и Postfix. В качестве клиента выступает аналогичный сервер или любая программа поддерживающая S/MIME. Проектом предлагаются клиентские приложения для BlackBerry и Android используемые для отправки и получения шифрованных сообщений через CipherMail и проверки S/MIME подписи. Вложения в виде PDF файлов автоматически закрываются паролем. Отправитель сообщает пароль получателю любым другим способом (есть функция автоматической отправки SMS). Поддерживается совместная работа с практически любыми центрами сертификации (EJBCA, Microsoft CA) или внешними вроде Verisign или Comodo. Процессом шифрования управляют политики, настраиваемые для доменов и отдельных учетных записей. Также Djigzo может автоматически добавлять к сообщениям электронную подпись, позволяющую получателю удостовериться, что письмо отправлено именно этим корреспондентом. Поддерживается и технология DKIM (DomainKeys Identified Mail).
Для установки предлагаются пакеты для Ubuntu/Debian, RedHat/CentOS, openSUSE, а также исходные тексты и образы на базе Ubuntu Linux 14.04 LTS готовые для с предустановленным CipherMail для виртуальных машин VMware, Hyper-V (логин/пароль — sa/sa). Весь процесс развертывания и настройки подробно расписан в документации. В Ubuntu 14.04 LTS процесс выглядит так:
$ sudo apt-get install postgresql postfix openjdk-7-jre openjdk-7-jre-headless tzdata-java ant ant-optional mktemp wget libsasl2-modules symlinks tomcat6
При настройке Postfix выбираем «No Configuration».
Скачиваем deb пакеты с сайта проекта и устанавливаем:
$ sudo dpkg -i ./djigzo_2.8.6-2_all.deb ./djigzo-web_2.8.6-2_all.deb
$ sudo apt-get -f install
По ходу будут созданы все необходимые каталоги, учетные данные и БД, подправлен /etc/sudoers. В каталоге /etc/postfix появится два шаблона конфигурационных файла, которыми следует оригинальные:
$ cd /etc/postfix
$ sudo mv djigzo-main.cf main.cf
$ sudo mv djigzo-master.cf master.cf
Для отсылки и приема сообщений используется Postfix, который должен переправлять все что проходит через него на 10025 порт, где данные обрабатываются CipherMail. В поставке уже есть готовые файлы, которыми подменяем оригинальные:
$ sudo cp /etc/postfix/djigzo-main.cf /etc/postfix/main.cf
$ sudo cp /etc/postfix/djigzo-master.cf /etc/postfix/ master.cf
$ sudo newaliases
$ sudo service postfix restart
Осталось настроить веб-интерфейс, для этого нужно просто указать Tomcat где искать файлы:
$ sudo nano /etc/default/tomcat6
JAVA_OPTS="$JAVA_OPTS -Ddjigzo-web.home=/usr/share/djigzo-web"
JAVA_OPTS="$JAVA_OPTS -Djava.awt.headless=true -Xmx128M"
TOMCAT6_SECURITY=no
Во время установки генерируется сертификат, необходимо изменить владельца:
$ sudo chown tomcat6:djigzo /usr/share/djigzo-web/ssl/sslCertificate.p12
Используя заготовки, добавляем HTTPS коннектор к Tomcat:
$ sudo cp /usr/share/djigzo-web/conf/tomcat/server-T6.xml \
/etc/tomcat6/server.xml
И прописываем путь к файлу для запуска CipherMail :
$ sudo nano /etc/tomcat6/Catalina/localhost/djigzo.xml
Перезапускаем сервер:
$ sudo service tomcat6 restart
Набираем в браузере https://localhost:8443/djigzo, принимаем сертификат, для регистрации вводим логин — admin, пароль — admin.
Веб-интерфейс CipherMail сложным назвать нельзя. Пункты меню позволяют добавить домен, пользователя (в терминах CipherMail , на самом деле здесь вводится почтовый адрес), управлять сертификатами, загружать списки отзыва сертификатов (CRL), просматривать очереди и прочие параметры.