Estoy ejecutando mi propia configuración del servidor de correo:
- IMAP: Dovecot
- SMTP: Postfix
Hay 4 clientes que recuperan correos electrónicos a través de IMAP:
- iOS (cliente predeterminado: Apple Mail)
- Android (cliente predeterminado)
- Mac (cliente predeterminado: Apple Mail)
- Windows (Thunderbird)
El problema: no quiero que estos clientes de correo confíen en nadie , excepto el certificado de mi servidor. (MITM riesgo w / comprometido CA)
¿Hay alguna forma de "desconfiar" de todos los certificados, que se enviaron de forma predeterminada (solo para SMTP / IMAP)?
¿También hay algo como HPKP (HTTP-Public-Key-Key-Pinning) para IMAP?
Mi dominio y los clientes de correo no "admiten" DNSSEC, por eso no puedo usar DANE.
Parece que solo Thunderbird tiene un complemento ("Patrulla de certificados") que permite lo que quiero. Sin embargo, esto es inútil, ya que mis otros tres clientes de correo no tienen un complemento similar.
Es suficiente si un atacante puede enviar un único cliente de correo de MITM para obtener mi contraseña.
¿Quizás debería cambiar a algo como * -Challenge-Response en lugar de la autenticación de contraseña simple?