Cliente de correo: fijación de clave pública

5

Estoy ejecutando mi propia configuración del servidor de correo:
- IMAP: Dovecot
- SMTP: Postfix

Hay 4 clientes que recuperan correos electrónicos a través de IMAP:
- iOS (cliente predeterminado: Apple Mail)
- Android (cliente predeterminado)
- Mac (cliente predeterminado: Apple Mail)
- Windows (Thunderbird)

El problema: no quiero que estos clientes de correo confíen en nadie , excepto el certificado de mi servidor. (MITM riesgo w / comprometido CA)
¿Hay alguna forma de "desconfiar" de todos los certificados, que se enviaron de forma predeterminada (solo para SMTP / IMAP)?

¿También hay algo como HPKP (HTTP-Public-Key-Key-Pinning) para IMAP?
Mi dominio y los clientes de correo no "admiten" DNSSEC, por eso no puedo usar DANE.

Parece que solo Thunderbird tiene un complemento ("Patrulla de certificados") que permite lo que quiero. Sin embargo, esto es inútil, ya que mis otros tres clientes de correo no tienen un complemento similar.
Es suficiente si un atacante puede enviar un único cliente de correo de MITM para obtener mi contraseña.

¿Quizás debería cambiar a algo como * -Challenge-Response en lugar de la autenticación de contraseña simple?

    
pregunta Ben Richard 03.06.2015 - 18:14
fuente

1 respuesta

2

Sin dados
No creo que encuentre la manera de fijar el certificado del servidor de correo en todos a estos clientes. No, a menos que paralice las tiendas de certificados de los dispositivos hasta solo su propio certificado de CA. Y eso funcionaría. Pero también significaría que el HTTPS regular dejaría de funcionar.

VPN en su lugar?
¿Podría poner su servidor de correo detrás de una VPN en su lugar? Esto debería ser más fácil de precisar solo para un certificado específico de los clientes.

    
respondido por el StackzOfZtuff 03.06.2015 - 21:41
fuente

Lea otras preguntas en las etiquetas