IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään, joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin.

Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta:

-----BEGIN X509 CERTIFICATE-----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-----END X509 CERTIFICATE-----

Tässä sama avain vielä ”ymmärrettävässä” muodossa:

Certificate = 
  SubjectName = <C=FI, O=IKI, OU=Mail, CN=Mail 2013 CA>
  IssuerName = <C=FI, O=IKI, OU=Mail, CN=Mail 2013 CA>
  SerialNumber= 0
  SignatureAlgorithm = rsa-pkcs1-sha1
  Certificate seems to be self-signed.
      * Signature verification success.
  Validity = 
    NotBefore = 2013 Jan  1st, 00:00:00 GMT
    NotAfter  = 2020 Dec 31st, 23:59:59 GMT
  PublicKeyInfo = 
    PublicKey =
      Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}}
      Modulus n  (2048 bits) :
        28371347161743193094518720617772706523426815530185116582353026105107716
        38328331232006126457624143952749066696013032682718430134537350895869434
        93499829813155909640592334780385864033711659456080585675862442239414451
        48739774381764798385101053377246772178636113852251956818423399587105003
        46979768285258246011518782479166165270843540329685329742506811988096774
        69397301194042129546947948038321349876174256111883935016398036602630345
        21707628652724468485584136206003808582929212311098300638786414520869230
        77137368290687864666197291415520932275341194474437478929509853333558601
        8744807512990328528219694975038319157691333336813
      Exponent e (  17 bits) :
        65537
  Extensions = 
    Available = key usage, basic constraints(critical)
    KeyUsage = DigitalSignature KeyCertSign 
    BasicConstraints = 
      PathLength = 1
      cA         = TRUE
        [CRITICAL]
  Public key SHA1 hash = 
    0d:eb:23:7d:d4:a5:0f:16:68:cb:19:fb:e3:9a:a5:f9:f8:df:3d:ea
  IKE Certificate hash = 
    38:8c:56:d9:cd:c1:3d:75:5c:22:c0:4b:dc:18:47:61:ce:03:99:57
  Fingerprints = 
    MD5 = 1d:7d:1b:82:9a:9e:1b:29:4f:9c:d6:67:68:54:84:19
    SHA-1 = 44:2e:bd:31:df:05:cc:33:6f:c0:08:45:41:fa:82:97:fd:52:04:61

Tällä hetkellä (joulukuu 2013) jokaisella mailikoneella on erillinen salainen avain ja nuo kaikki avaimet on allekirjoitettu tuolla CA avaimella. Aikaisemmin käytettiin IKI CA avainta, mutta kun iki-ca kone on poissa käytöstä niin nuo sähköpostikoneiden alivarmenteet olivat vanhentuneet ja niiden päivittäminen ei onnistunut, niin siirryimme käyttämään erillistä CA:ta.