Nginx官方文档(四十三)【ngx_mail_proxy_module|ngx_mail_ssl_module】

ngx_mail_proxy_module

• 指令
  • proxy_buffer
  • proxy_pass_error_message
  • proxy_timeout
  • xclient

指令

proxy_buffer

-	说明
语法	proxy_buffer size;
默认	proxy_buffer 4k|8k
上下文	mail、server

设置用于代理的缓冲区的大小。默认情况下，缓冲区大小等于一个内存页。根据平台的不同，它可以是 4K 或 8K。

proxy_pass_error_message

-	说明
语法	proxy_pass_error_message on | off;
默认	proxy_pass_error_message off;
上下文	mail、server

指示是否将后端身份验证期间获得的错误消息传递给客户端。

通常，如果 nginx 中的身份验证成功，则后端无法返回错误。如果仍然返回错误，则表示发生了一些内部错误。在这种情况下，后端消息可能包含不应显示给客户端的信息。但是，对于某些 POP3 服务器，响应一个密码错误信息是正常现象。例如，CommuniGatePro 通过定期输出身份验证错误来通知用户邮箱溢出或其他事件。在这种情况下，应启用该指令。

proxy_timeout

-	说明
语法	proxy_timeout timeout;
默认	proxy_timeout 24h;
上下文	mail、server

设置客户端或代理服务器连接上两次连续的读取或写入操作之间的超时（timeout）。如果在此时间内没有数据传输，则连接将关闭。

xclient

-	说明
语法	xclient on | off;
默认	xclient on;
上下文	mail、server

连接到 SMTP 后端时，启用或禁用 XCLIENT 命令与客户端参数的传递。

借助 XCLIENT，MTA 能够将客户端信息写入日志并基于此数据应用各种限制。

如果启用了 XCLIENT，则 nginx 在连接到后端时会传递以下命令：

• 附带服务器名称的 EHLO
• XCLIENT
• 由客户传递的 EHLO 或 HELO

如果客户端 IP 地址找到的名称指向相同的地址，则会在 XCLIENT 命令的 NAME 参数中传递该名称。如果找不到名称、指向其他地址或未指定解析器，则在 NAME 参数中传递 [UNAVAILABLE]。如果在解析过程中发生错误，则使用 [TEMPUNAVAIL] 值。

如果禁用了 XCLIENT，则如果客户端已通过 EHLO，则 nginx 在连接到后端时将使用服务器名称传递 EHLO 命令；否则，使用服务器名称传递 HELO。

原文档

• http://nginx.org/en/docs/mail/ngx_mail_proxy_module.html

---

ngx_mail_ssl_module

• 示例配置
• 指令
  • ssl
  • ssl_certificate
  • ssl_certificate_key
  • ssl_ciphers
  • ssl_client_certificate
  • ssl_crl
  • ssl_dhparam
  • ssl_ecdh_curve
  • ssl_password_file
  • ssl_prefer_server_ciphers
  • ssl_protocols
  • ssl_session_cache
  • ssl_session_ticket_key
  • ssl_session_tickets
  • ssl_session_timeout
  • ssl_trusted_certificate
  • ssl_verify_client
  • ssl_verify_depth
  • starttls

ngx_mail_ssl_module 模块可让邮件代理服务器支持 SSL/TLS 协议。

默认情况下不构建此模块，可在构建时使用 --with-mail_ssl_module 配置参数启用它。

该模块依赖 OpenSSL 库。

示例配置

为了减轻处理器负载，建议：

• 将 worker 进程数设置为与处理器数量相等
• 启用共享会话缓存
• 禁用内置的会话缓存
• 可以延长会话的生命周期（默认为 5 分钟）

worker_processes auto;

mail {

    ...

    server {
        listen              993 ssl;

        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
        ssl_certificate     /usr/local/nginx/conf/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/cert.key;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;

        ...
    }

指令

ssl

-	说明
语法	ssl on | off;
默认	ssl off;
上下文	mail、server

该指令在 1.15.0 版本中已废弃，请改用 listen 指令的 ssl 参数。

ssl_certificate

-	说明
语法	ssl_certificate file;
默认	——
上下文	mail、server

为给定服务器指定一个 PEM 格式的证书文件（file）。如果除主证书之外还要指定中间证书，则应在同一文件中按以下顺序指定它们：首先是主证书，然后是中间证书。PEM 格式的密钥可以放在同一文件中。

从 1.11.0 版开始，可以多次声明该指令来加载不同类型的证书，例如 RSA 和 ECDSA：

server {
    listen              993 ssl;

    ssl_certificate     example.com.rsa.crt;
    ssl_certificate_key example.com.rsa.key;

    ssl_certificate     example.com.ecdsa.crt;
    ssl_certificate_key example.com.ecdsa.key;

    ...
}

仅 OpenSSL 1.0.2 或更高版本支持不同证书的独立证书链。对于较旧的版本，只能使用一个证书链。

可以指定 data:certificate 值来代替 file（1.15.10），无需使用文件即可加载证书。请注意，错误使用此语法可能会带来安全隐患，例如将密钥数据写入错误日志。

ssl_certificate_key

-	说明
语法	ssl_certificate_key file;
默认	——
上下文	mail、server

给服务器指定一个 PEM 格式的密钥文件（file）。

可以指定 engine:name:id 来代替 file（1.7.9），Nginx 将从名称为 name 的 OpenSSL 引擎中中加载 id 为 id 的密钥。

可以指定 data:key 值来代替 file（1.15.10），无需使用文件就可以加载密钥。请注意，错误使用此语法可能会带来安全隐患，例如将密钥数据写入错误日志。

ssl_ciphers

-	说明
语法	ssl_ciphers ciphers
默认	ssl_ciphers HIGH:!aNULL:!MD5;
上下文	mail、server

指定启用的加密算法。仅可指定 OpenSSL 库支持的算法，例如：

ssl_ciphers ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;

可以使用 openssl ciphers 命令查看完整列表。

默认情况下，早期版本的 nginx 使用了不同的加密算法。

ssl_client_certificate

-	说明
语法	ssl_client_certificate file;
默认	——
上下文	mail、server
提示	该指令在 1.7.11 版本中出现

指定一个 PEM 格式的受信任 CA 证书文件，用于验证客户端证书。

证书列表将发送给客户端。如果不希望这样做，则可以使用 ssl_trusted_certificate 指令配置。

ssl_crl

-	说明
语法	ssl_crl file;
默认	——
上下文	mail、server
提示	该指令在 1.7.11 版本中出现

指定一个 PEM 格式的吊销证书（CRL）文件，用于验证客户端证书。

ssl_dhparam

-	说明
语法	ssl_dhparam file;
默认	——
上下文	mail、server
提示	该指令在 0.7.2 版本中出现

指定一个带有 DHE 密码的 DH 参数的文件（file）。

默认情况下，不设置任何参数，因此不使用 DHE 密码。

在 1.11.0 版之前，默认情况下使用内置参数。

ssl_ecdh_curve

-	说明
语法	ssl_ecdh_curve curve;
默认	ssl_ecdh_curve auto;
上下文	mail、server
提示	该指令在 1.1.0 和 1.0.6 版本中出现

为 ECDHE 算法指定一个椭圆曲线方案（curve）。

使用 OpenSSL 1.0.2 或更高版本时，可以指定多个曲线（1.11.0），例如：

ssl_ecdh_curve prime256v1:secp384r1;

当使用 OpenSSL 1.0.2 或更高版本或带有较旧版本的 prime256v1 时，特殊值 auto（1.11.0）指示 nginx 使用内置在 OpenSSL 库中的列表。

在 1.11.0 版之前，默认使用 prime256v1 曲线。

ssl_password_file

-	说明
语法	ssl_password_file file;
默认	——
上下文	mail、server
提示	该指令在 1.7.3 版本中出现

指定一个保存有密钥密码的文件，每个密码独占一行。 加载密钥时依次尝试使用这些密码。

例：

mail {
    ssl_password_file /etc/keys/global.pass;
    ...

    server {
        server_name mail1.example.com;
        ssl_certificate_key /etc/keys/first.key;
    }

    server {
        server_name mail2.example.com;

        # named pipe can also be used instead of a file
        ssl_password_file /etc/keys/fifo;
        ssl_certificate_key /etc/keys/second.key;
    }
}

ssl_prefer_server_ciphers

-	说明
语法	ssl_prefer_server_ciphers on | off;
默认	ssl_prefer_server_ciphers off;
上下文	mail、server

指定当使用 SSLv3 和 TLS 协议时，服务器加密算法应优先于客户端加密算法。

ssl_protocols

-	说明
语法	ssl [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3];
默认	sssl_protocols TLSv1 TLSv1.1 TLSv1.2;
上下文	mail、server

启用指定的协议。

TLSv1.1 和 TLSv1.2 参数（1.1.13、1.0.12）仅在使用 OpenSSL 1.0.1 或更高版本时有效。

TLSv1.3 参数（1.13.0）仅在 OpenSSL 1.1.1 构建时使用了 TLSv1.3 支持有效。

ssl_session_cache

-	说明
语法	ssl_session_cache on | none | [builtin[:size]] [shared:name:size];
默认	ssl_session_cache none;
上下文	mail、server

设置存储会话参数的缓存的类型和大小。缓存可以是以下任何类型：

• off

  严格禁止使用会话缓存：nginx 明确告知客户端禁止重复使用会话。

• none

  禁止使用会话缓存：nginx 告诉客户端会话可以重用，但实际上并没有在缓存中存储会话参数。

• builtin

  内置的 OpenSSL 缓存，仅由一个 worker 进程使用。缓存大小在会话中指定。如果未指定大小，则默认为 20480 个会话。使用内置缓存可能导致内存碎片。

• shared

  所有 worker 进程之间共享的缓存。缓存大小以字节为单位，一兆字节可以存储大约 4000 个会话。每个共享缓存都有一个任意的名称。相同名称的缓存可以在多个服务器中使用。

两种缓存类型可以同时使用，例如：

ssl_session_cache builtin:1000 shared:SSL:10m;

但仅使用共享缓存而不使用内置缓存，效率会更高。

ssl_session_ticket_key

-	说明
语法	ssl_session_ticket_key file;
默认	——
上下文	mail、server
提示	该指令在 1.5.7 版本中出现

设置一个带有用于加密和解密 TLS 会话票证的密钥文件。如果必须在多个服务器之间共享同一密钥，则该指令是必需的。默认情况下，使用随机生成的密钥。

如果指定了多个密钥，仅第一个密钥被用于加密 TLS 会话票证。可配置 key 轮转，例如：

ssl_session_ticket_key current.key;
ssl_session_ticket_key previous.key;

该文件（file）必须包含 80 或 48 个字节的随机数据，可以使用以下命令创建：

openssl rand 80> ticket.key

根据文件大小，使用 AES256（针对 80 字节的 key，1.11.8）或 AES128（针对 48 字节的 key）进行加密。

ssl_session_tickets

-	说明
语法	ssl_session_tickets on | off;
默认	ssl_session_tickets on;
上下文	mail、server
提示	该指令在 1.5.9 版本中出现

通过 TLS 会话票证启用或禁用会话复用。

ssl_session_timeout

-	说明
语法	ssl_session_timeout time;
默认	ssl_session_timeout 5m;
上下文	mail、server

指定客户端可以重用会话参数的时间。

ssl_trusted_certificate

-	说明
语法	ssl_trusted_certificate file;
默认	——
上下文	mail、server
提示	该指令在 1.7.11 版本中出现

指定一个带有用于验证客户端证书的 PEM 格式的受信任 CA 证书文件。

与 ssl_client_certificate 设置的证书相反，这些证书的列表不会发送给客户端。

ssl_verify_client

-	说明
语法	ssl_verify_client on | none | optional | optional_no_ca;
默认	ssl_verify_client off;
上下文	mail、server
提示	该指令在 1.7.11 版本中出现

启用客户端证书的验证。验证结果在身份验证请求的 Auth-SSL-Verify 头中传递。

optional 参数请求客户端证书并验证该证书是否存在。

optional_no_ca 参数请求客户端证书，但不需要由受信任的 CA 证书对其进行签名，适合在 nginx 外部的服务执行实际证书验证的情况下使用。通过发送到身份验证服务器的请求可以访问证书的内容。

ssl_verify_depth

-	说明
语法	ssl_verify_depth number;
默认	ssl_verify_depth 1;
上下文	mail、server
提示	该指令在 1.7.11 版本中出现

设置客户端证书链的验证深度。

starttls

-	说明
语法	starttls on | off | only;
默认	starttls off;
上下文	mail、server

• on

  允许对 POP3 使用 STLS 命令，对 IMAP 和 SMTP 使用 STARTTLS 命令

• off

  拒绝使用 STLS 和 STARTTLS 命令

• only

  要求初步的 TLS 转换

原文档

• http://nginx.org/en/docs/mail/ngx_mail_ssl_module.html