Сервер сообщений MDaemon 24.0

OpenPGP - это протокол для обмена зашифрованными данными, признанный отраслевым стандартом. Существует множество плагинов OpenPGP для почтовых клиентов, с помощью которых пользователи могут отправлять и получать зашифрованные сообщения. MDPGP - это интегрированный OpenPGP-компонент для почтового севера MDaemon, предоставляющий вашим пользователям возможность шифрования и расшифровки сообщений, а также базовые функции управления ключами без установки отдельных плагинов.

MDPGP выполняет шифрование и расшифровку почты с использованием системы открытых и закрытых ключей. Система действует следующим образом.  Если вы хотите использовать MDPGP для отправки частного, защищенного сообщения кому-либо, MDPGP зашифрует сообщение с помощью "ключа", который был ранее получен от данного пользователя (т.е. его "открытый" ключ) и импортирован в MDPGP. Точно также, если адресат захочет отправить вам защищенное сообщение, он должен будет зашифровать его с использованием вашего открытого ключа, полученного от вас. Передача адресату вашего открытого ключа является обязательной процедурой, без него ваш респондент не сможет отправить вам сообщение, зашифрованное с использованием OpenPGP. Ваш уникальный открытый ключ обязательно должен использоваться для шифрования письма, поскольку для расшифровки полученного сообщения MDPGP будет использовать уникальный закрытый ключ .

Для управления подписыванием, шифрованием и расшифровкой сообщений MDPGP использует два хранилища ключей (т.н. связки ключей) — одно из них предназначено для открытых, другое для закрытых ключей. MDPGP способен генерировать пользовательские ключи в автоматическом режиме по мере необходимости, вы также можете создавать ключи вручную для конкретных пользователей. Предусмотрена возможность импорта ключей, сгенерированных в другом месте. Сервер MDaemon также может обнаруживать открытые ключи, прикрепленные к авторизованным сообщениям от локальных пользователей, после чего импортировать эти ключи в автоматическом режиме. Таким образом, пользователь может запросить открытый ключ у нужного респондента и отправить этот ключ по электронной почте самому себе, чтобы компонент MDPGP смог обнаружить его и импортировать в соответствующую связку. MDPGP никогда не будет хранить несколько копий одного и того же ключа. При этом для одного адреса может быть несколько разных ключей. Теперь, при поступлении сообщения на почтовый адрес, чей ключ имеется на связке, MDPGP сможет подписывать, шифровать или расшифровывать сообщения, в соответствии с заданными настройками. При наличии у адреса нескольких ключей, MDPGP воспользуется тем из них, который помечен как предпочтительный. Если ни один из ключей не является предпочтительным, выбран будет первый ключ в связке. При расшифровке сообщения MDaemon попробует каждый из доступных ключей.

Вы можете настроить сервисы подписывания и шифрования MDPGP для работы в автоматическом и ручном режимах. В первом случае MDPGP будет самостоятельно подписывать и шифровать сообщения по мере необходимости. Во втором случае необходимые действия будут выполняться лишь после того, как отправитель добавит специальную команду в поле "Тема". Независимо от выбранного режима работы, подписывание, шифрование и расшифровка будет выполняться только при наличии у учетной записи соответствующего разрешения на использование этих сервисов.

Активация MDPGP

Включить MDPGP

Функция MDPGP включена по умолчанию, однако подписывание, шифрование и расшифровка сообщений не будет выполняться до тех пор, пока вы не создадите или не импортируете ключи на связку или до тех пор пока не будет включена доступная ниже опция, позволяющая механизму MDPGPСоздавать ключи автоматически.

Включить сервисы шифрования и подписывания

По умолчанию сообщения могут снабжаться подписями и шифроваться при наличии необходимых ключей на связке. Отключите эту опцию, чтобы запретить MDPGP подписывать или шифровать сообщения.

Включить сервис расшифровки и верификации

По умолчанию входящие зашифрованные сообщения  будут расшифровываться, если закрытый ключ получателя известен. MDPGP также будет верифицировать встроенные подписи в нешифрованных сообщениях. Обратите внимание, что получатель и отправитель должны быть авторизованы для использования сервисов расшифровки и верификации через доступные ниже опции "Авторизовывать всех..." или "Указать точно кто..." (по умолчанию включена авторизация для всех). Отключите эту опцию, чтобы запретить MDPGP верифицировать встроенные подписи или расшифровывать любые сообщения, к примеру, если вы хотите, чтобы все ваши пользователи выполняли расшифровку самостоятельно с помощью плагина почтового клиента. Если эта опция отключена, все входящие сообщения будут обрабатываться, как обычные письма и доставляться в почтовый ящик получателя.

Собирать открытые ключи с DNS (pka1) и кэшировать в течение [xx] часов

Включите эту опцию, чтобы сервис MDPGP запрашивал открытие ключи получателя сообщения через DNS с использованием PKA1. Эта возможность может оказаться полезной, поскольку она автоматизирует процесс получения открытых ключей некоторых адресатов, не требуя выполнять эту операцию вручную. При выполнении запросов PKA1, любые обнаруженные URI-адреса ключей немедленно собираются, подтверждаются и добавляются на связку. Ключи, успешно собранные и импортированные на связку с использованием этого метода, можно отслеживать через файлfetchedkeys.txt, а срок действия таких ключей истекает через определенное количество часов, указанное в этой опции или в соответствии со значением TTL в относящейся к ним записи PKA1 (автоматически выбирается наибольшее значение). Таким образом, указанное здесь значение - это минимальный срок хранения ключа в кэше. Значение по умолчанию равно 12 часам, а наименьшее допустимое значение равно одному часу.

Обмениваться открытыми ключами с использованием HTTP (Webmail)

Включите эту опцию, чтобы использовать Webmail в качестве базового сервера открытых ключей; Webmail будет удовлетворять запросы на открытые ключи ваших пользователей. URL-адрес для совершения таких запросов должен выглядеть следующим образом: "http://<Webmail-URL>/WorldClient.dll?View=MDPGP&k=<Key-ID>". Где <Webmail-URL>- путь к вашему серверу Webmail (например, "http://wc.example.comи <Key-ID>- 16-значный идентификатор нужного вам ключа (например, "0A1B3C4D5E6F7G8H").  Идентификатор ключа формируется из последних 8 байт отпечатка ключа – его длина составляет 16 символов.

Обмениваться открытыми ключами во время SMTP-сеансов (MDaemon)

Включите эту опцию, чтобы разрешить автоматическую передачу открытых ключей в рамках процесса доставки сообщений по SMTP. Для этого SMTP-сервер MDaemon использует команду SMTP под названием RKEY. При отправке почты на сервер, поддерживающий RKEY, сервер MDaemon предложит передать текущий предпочитаемый открытый ключ отправителя другому хосту. В отзыве хоста может содержаться информация о том, что хост уже располагает этим ключом ("250 2.7.0 Key is already known") или о том, что данный ключ нужен хосту. В последнем случае ключ будет немедленное передан в формате ASCII Armor ("354 Enter key, end with CRLF.CRLF"), как обычное почтовое сообщение. Отозванные ключи или ключи с истекшим сроком действия не передаются таким образом. Если сервер MDaemon располагает несколькими ключами для отправителя, отправлен будет ключ, помеченный как "предпочтительный". При отсутствии предпочтительного ключа будет отправлен первый найденный ключ. В случае отсутствия действительных ключей операция не будет выполнена. Предлагаются только те открытые ключи, которые принадлежат локальным пользователям.

Передача открытого ключа осуществляется в рамках почтового SMTP-сеанса по доставке сообщения от пользователя. Чтобы открытые ключи, отравляемые таким способом, могли быть приняты получателем, они должны передаваться вместе с сообщением с DKIM-подписьюдомена владельца ключа с тэгом "i=", указывающим на адрес владельца ключа, который также должен в точностью соответствовать адресу в заголовке "From:". Информация о владельце ключа извдекается из самого ключа. Кроме того, сообщение должно поступить с хоста, указанного в SPF-пути отправителя. Наконец, владелец ключа (или его домен целиком, для чего необходимо использовать подстановочные знаки) должен быть авторизован для использования RKEY путем добавления соответствующей записи в файл правил MDPGP (подробные инструкции можно найти в файле правил). Эта запись подтверждает, что домен заслуживает доверия и пригоден для обмена ключами. Все перечисленные проверки выполняются в автоматическом режиме при включенной верификации DKIM и SPF, в противном случае операция не будет завершена.

Результаты операций по импорту или удалению ключей и подробности отображаются в логе MDPGP, данная активность также регистрируется в логе сеанса SMTP. Данный процесс отслеживает удаление существующих ключей и выбор новых предпочитаемых ключей, после чего обновляет данные всех серверов на которые отправляется почта.

Авторизовать всех локальных пользователей MDaemon для всех сервисов

По умолчанию все локальные пользовательские учетные записи MDaemon авторизованы для работы с любыми активными сервисами MDPGP: подписывание, шифрование, расшифровка и верификация. Если вы хотите сделать тот или иной сервис недоступным для конкретного пользователю, воспользуйтесь приведенной ниже опцией "Указать однозначно кто может и кто не может использовать сервисы MDPGP". Отключите данную опцию, если вы хотите авторизовывать лишь некоторых локальных пользователей. Вы этом случае опция "Указать однозначно кто может и кто не может использовать сервисы MDPGP" позволит вам более точно и аккуратно настроить доступ к сервисам.

Авторизовать всех не локальных (внешних) пользователей для сервисов расшифровки/верификации

По умолчанию любое входящее защифрованное сообщение для локального пользователя от внешнего отправителя может быть расшифровано, если сервису MDPGP известен закрытый ключ локального получателя. MDPGP также будет выполнять верификацию встроенных подписей во входящих сообщениях от внешних пользователей. Если же вы не хотите расшифровывать или верифицировать сообщения от конкретного внешнего пользователя, запретите ему использование этих сервисов через опцию "Указать однозначно кто может и кто не может использовать сервисы MDPGP". Отключите эту опцию, если вы не хотите расшифровывать сообщения с не локальных адресов и выполнять верификацию встроенных подписей в таких сообщениях. Запрет будет действовать в отношении всех внешних адресов, однако вы можете настроить несколько исключений из данного общего правила с помощью опции "Указать однозначно кто может и кто не может использовать сервисы MDPGP".

Указать однозначно кто может и кто не может использовать сервисы MDPGP

Нажмите эту кнопку, чтобы открыть файл rules.txt, который позволит настроить разрешения на использование MDPGP. С помощью этого файла вы сможете указать, кому из пользователей разрешено подписывать, шифровать и расшифровывать сообщения. Вы также можете запретить конкретному пользователю выполнение любого из этих действий. К примеру, вы можете составить правило следующего вида: "+*@example.com", которе разрешает всем пользователямexample.comвыполнять шифрование сообщений, однако добавленная строка "-frank@example.com" лишит такой возможности конкретного пользователяfrank@example.com. Примеры правил и инструкции по их использованию можно найти в верхней части файлаrules.txt.

Rules.txt - примечания и синтаксис

•Только прошедшая SMTP-авторизацию почта от пользователей этого сервера MDaemon допускается к сервису шифрования. Вы также можете указать не локальные адреса, которым запрещено использовать сервис шифрования, это означает, что MDPGP небудет шифровать сообщения, отправяемые на данные адреса, даже если их открытый ключ известен.

•При возникновении конфликта между настройками из файлаrules.txtи глобальной опцией "Авторизовать всех локальных пользователей MDaemon для всех сервисов", предпочтение будет отдано правилам из текстового файла.

•При возникновении конфликта между настройками из файлаrules.txtи глобальной опцией "Авторизовать всех не локальных (внешних) пользователей для сервисов расшифровки/верификации", предпочтение будет отдано правилам из текстового файла.

•Весь текст строки после символа # игнорируется.

•Отделяйте почтовые адреса, перечисленные в одной строке, с помощью пробела.

•Разрешено использование подстановочных символов (* и ?) в почтовых адресах.

•Несмотря на то, что сообщения, зашифрованные с использованием MDPGP, всегда являются подписанными, предоставление пользователю прав применения шифрования не наделяет его правом подписывания незашифрованных сообщений. Для подписывания незашифрованных сообщений учетной записи требуется соответствующее отдельное разрешение.

•К любому почтовому адресу можно добавить один из приведенных ниже тегов в качестве префикса:

+(plus) - адрес может использовать сервис шифрования MDPGP.

-(minus) - адрес не можетиспользовать сервис шифрования MDPGP.

!(exclamation) - адрес может использовать сервис расшифровки MDPGP.

~(tilde) - адрес не можетиспользовать сервис расшифровки MDPGP.

^(caret) - адрес может использовать сервис подписывания MDPGP.

=(equal) - адрес не можетиспользовать сервис подписывания MDPGP .

$ (dollar) - адрес может использовать сервис верификации MDPGP.

& (ampersand) - адрес не можетиспользовать сервис верификации MDPGP.

Примеры:

+*@*— все пользователи во всех доменах могут шифровать.

!*@*— все пользователи во всех доменах могут расшифровывать.

^*@*— все пользователи во всех доменах могут подписывать.

^*@example.com— все пользователи example.com могут подписывать.

+frank@example.com ~frank@example.com— пользователь может шифровать, но не может расшифровывать.

+GROUP:EncryptingUsers— члены группы MDaemonEncryptingUsersмогут шифровать.

^GROUP:Signers— члены группы MDaemonSignersмогут подписывать.

Режимы шифрования/подписывания

Автоматический режим

Опции, доступные в разделе "Настройки", позволят выполнять добавление подписей и шифрование MDPGP в автоматическом режиме, при наличии у учетной записи соответствующего разрешения. Когда учетная запись отправляет авторизованное сообщение и MDPGP известен нужный ключ, сообщение будет подписано или зашифровано в соответствии с приведенными ниже настройками.

Настройки

Автоматически шифровать почту, если известен открытый ключ получателя

По умолчанию, если учетной записи разрешено шифровать сообщения, механизм MDPGP будет выполнять это действие автоматически, при условии что ему известен открытый ключ получателя. Отключите эту опцию, чтобы отменить автоматическое шифрование сообщений; шифрование можно включить вручную с помощью специальных кодов, приведенных ниже в разделе Ручной режим.

Автоматически подписывать почту, если известен закрытый ключ отправителя

Включите эту опцию, чтобы механизм MDPGP автоматически подписывал сообщения, если если учетной записи разрешено подписывать сообщения и закрытый ключ отправителя известен. Даже если эта опция отключена, сообщения могут быть подписаны вручную с использованием специальных кодов, список которых доступен ниже в разделе "Ручной режим".

Шифровать/подписывать почту, передаваемую между пользователями одного домена

Если в настройках MDPGP включено автоматическое шифрование или подписывание сообщений, данная опция обеспечит выполнение этих действий даже в случае передачи почты между пользователями одного домена, которые предоставили необходимые ключи. По умолчанию эта опция включена.

Шифровать/подписывать почту, передаваемую между пользователями локальных доменов MDaemon

Если в настройках MDPGP включено автоматическое шифрование или подписывание сообщений, данная опция обеспечит выполнение этих действий даже в случае передачи почты между пользователями локальных доменов MDaemon, которые предоставили необходимые ключи. К примеру, если список вашх доменов MDaemon включает "example.com" и "example.net," сообщения, передаваемые между пользователями этих доменов будут автоматически шифроваться и подписываться. По умолчанию эта опция включена.

Шифровать/подписывать почту, отправляемую себе

Если в настройках MDPGP включено автоматическое шифрование или подписывание сообщений, данная опция обеспечит выполнение этих действий даже в случае, если учетная запись отправляет сообщение себе (например, с адреса frank@example.com на frank@example.com). Если учетной записи выдано разрешение на шифрование и расшифровку (настройка включенная по умолчанию), то MDPGP примет сообщение, зашифрует его, немедленно расшифрует и поместит в почтовые ящик пользователя. Если же у учетной записи отсутствует разрешение на расшифровку, сообщение может быть доставлено в почтовый ящик в зашифрованном виде. По умолчанию эта опция включена.

Ручной режим

После отключения опцийАвтоматически подписывать почту...иАвтоматически шифровать почту...механизм MDPGP можно использовать в ручном режиме. В этом режиме MDPGP не будет шифровать и подписывать никакие сообщения, кроме тех, которые прошли авторизацию и содержат один из следующих кодов в заголовке "Тема":

Управление ключами

Для управления открытыми и закрытыми ключами используются опции, доступные в нижней части диалогового окна MDPGP. Для каждого ключа есть запись, при этом вы можете щелкнуть правой кнопкой мыши на любой записи и экспортировать ключ, удалить его, включить/отключить его, установить его в качестве предпочтительного ключа (см. раздел "Обмен открытыми ключами во время сеансов почты SMTP" выше). Вы также можете установить его в качестве ключа домена (см. ниже). КнопкаЭкспорт ключапозволит сохранить выбранный ключ в папке\MDaemon\Pem\_mdpgp\exports\,причем вы также можете опционально отправить открытый ключ на выбранный почтовый адрес. Опции "Показывать локальные/удаленные" и "Фильтр", упростят поиск конкретного адреса или группы.

Использование ключа домена

При желании вы можете использовать один ключ для шифрования всех сообщений, отправляемых на определенный домен, независимо от отправителя. Это полезно, если, например, один из ваших доменов и домен, размещенный в другом месте, хотят зашифровать все электронные письма, передаваемые между ними, и при этом такие домены не хотят устанавливать и управлять отдельными ключами шифрования для каждой учетной записи пользователя в домене. Есть несколько способов сделать это:

•Если у вас уже есть открытый ключ для другого домена, причем вы хотите использовать этот ключ для шифрования всех исходящих сообщений, идущих на него, щелкните правой кнопкой мыши по ключу и выберите "Установить как ключ домена". Затем введите доменное имя и нажмитеOК. Это создаст правило фильтрации содержимого, чтобы все сообщения "To:" в этом домене были зашифрованы с использованием назначенного ключа.

•Если открытый ключ домена был вам предоставлен, но его еще нет в списке, нажмите Импортировать ключ домена, введите имя домена и нажмите ОК, затем перейдите к файлу public.asc домена и нажмите Открыть. Это также приведет к созданию правила фильтрации содержимого для шифрования сообщений в домене.

•При необходимости измените правила фильтрации содержимого, чтобы точно указать, какие сообщения перед отправкой на домены должны быть зашифрованы.

•Чтобы создать новый ключ для одного из ваших доменов и передать его на другой домен для шифрования отправляемых вам сообщений, следуйте инструкциям в разделе "Создание ключей для конкретного пользователя" ниже, выбрав "_Domain Key (domain.tld)_<anybody@domain.tld>" из списка.

Сведения об ошибках шифрования отправителю по электронной почте (команда --pgpe)

Если пользователь пытался отправить зашифрованное сообщение с помощью команды --pgpe, на операция шифрования по какой-то причине завершилась неудачей (например, ключ шифрования не был найден), данная опция позволит передать отправителю уведомление с информацией о возникшей проблеме. Опция отключена по умолчанию, уведомления об отказах не отправляются.

Отправлять открытые ключи по электронной почте при отправке почты себе (команда --pgpk)

Когда пользователь отправляет электронное письмо самому себе с помощью "--pgpk <email address>" в качестве темы (например, --pgpk<frank@example.com>). Если открытый ключ для данного адреса существует, он будет выслан лицу, отправившему запрос.

Автоматически импортировать открытые ключи от авторизованных пользователей

По умолчанию, когда авторизованный пользователь присылает сообщение с открытым ключом в форматеASCII, MDPGP импортирует этот ключ на связку. Таким образом, пользователь может быстро добавить открытый ключ нужного контакта в MDPGP, путем отправки ключа самому себе в качестве вложения. Отключите эту опцию, чтобы запретить автоматический импорт открытых ключей.

Создавать ключи автоматически

Включите эту опцию, чтобы разрешить MDPGP автоматически генерировать пары из открытого и закрытого ключей для каждого пользователя MDaemon. Вместо того, чтобы сгенерировать ключи для всех пользователей в один прием, MDPGP выполняет эту операцию только тогда, когда пользователь испытывает потребность в ключах. Опция отключена по умолчанию с целью экономии ресурсов и во избежание генерирования ненужных ключей для учетных записей, которые никогда не пользуются MDPGP.

Размер ключа

С помощью этой опции вы можете задавать размер ключей, генерируемых механизмом MDPGP. Вы можете выбрать один из предлагаемых размеров ключа: 1024, 2048 или 4096 бит. По умолчанию используются 2048-битные ключи.

Срок действия истекает через [xx] дней (0=никогда)

Здесь вы можете указать количество дней, начиная с даты создания, на протяжении которых ключ, сгенерированный MDPGP, будет считаться действительным. Установите значение опции равное "0", чтобы создавать ключи с бессрочным сроком действия. Значение опции по умолчанию равно "0".

Создать ключи для конкретных пользователей

Для того чтобы сгенерировать пару ключей для учетной записи вручную:

1.НажмитеСоздать ключи для конкретных пользователей.

2.Выберите учетную запись из выпадающего списка.Если вы хотите создать один ключ для применения ко всем учетным записям домена, выберите из списка вариант "_Domain Key (domain.tld)_ <anybody@domain.tld>".

3.Опционально:Воспользуйтесь флажкомОтправить открытый ключ владельцу ключа..., чтобы отправить ключ пользователю в виде почтового вложения.

4.НажмитеOk.

Шифрование исходящей почты на основе получения IP

Если вы хотите использовать определенный ключ шифрования для шифрования всех сообщений, предназначенных для определенного IP-адреса, включите эту опцию и нажмите Настройка,чтобы открыть файл MDaemon Message Transport Encryption, в котором вы можете указать IP-адрес и идентификатор связанного ключа. Любой исходящий SMTP-сеанс, доставляющий сообщение на один из перечисленных IP-адресов, зашифрует сообщение с использованием соответствующего ключа непосредственно перед передачей. Если сообщение уже зашифровано другим ключом, этот шаг будет пропущен.

Импорт ключей

Чтобы импортировать файл ключа в MDPGP вручную, щелкните по этой кнопке, выберите нужный файл и нажмите Открыть. При импорте закрытого ключа вам не нужно импортировать соответствующий открытый ключ, который уже содержится в файле. Если вы импортируете закрытый ключ, защищенный кодовой фразой, MDPGP предложит вам ввести эту фразу. Без ввода кодовой фразы импорт закрытого ключа невозможен. После импорта закрытого ключа, сервер MDaemon поменяет его кодовую фразу на другую, которая используется в MDPGP в настоящий момент.

Импортировать ключ домена

Если вам был предоставлен открытый ключ шифрования для шифрования всех сообщений, отправляемых на определенный домен, нажмите эту кнопку, введите имя домена, нажмитеOК, а затем перейдите к файлу public.asc домена и нажмите Открыть. Это добавит открытый ключ домена в соответствующий список и создаст правило фильтрации содержимого для шифрования всех исходящих сообщений для этого домена - независимо от отправителя.

Сменить кодовую фразу

Для защиты закрытых ключей используется кодовая (парольная) фраза. При попытке импорта закрытого ключа вы должны будете указать эту фразу. Экспортируемый закрытый ключ также защищается кодовой фразой, без знания которой использование или импорт данного ключа окажется невозможным. По умолчанию механизм MDPGP использует кодовую фразу MDaemon. Из соображений безопасности эту фразу следует сменить на более надежную, после того как вы начнете использовать MDPGP. До тех пор, пока вы этого не сделаете кодовая фраза - MDaemon будет использоваться для каждого ключа, созданного или успешно импортированного в MDPGP. Для смены кодовой фразы щелкните по кнопкеСменить кодовую фразуна экране MDPGP. После смены кодовой фразы, новая фраза будет применена к каждому закрытому ключу на вашей связке.

Резервное копирование файлов данных

Щелкните по этой кнопке для создания резервной копии текущих связок ключей Keyring.private и Keyring.public. По умолчанию резервная копия сохраняется в папке: "\MDaemon\Pem\_mdpgp\backups" в виде файла с расширением.bak, которое прибавляется к имени такого файла.