Supporto TLS SMTP SSL per Postfix: Difference between revisions
Port 465 |
|||
| Line 13: | Line 13: | ||
== Copia dei certificati ssl == | == Copia dei certificati ssl == | ||
===Utilizzo dei certificati standard=== | |||
I certificati sono: | |||
/etc/ssl/private/ssl-cert-snakeoil.key | |||
/etc/ssl/certs/ssl-cert-snakeoil.pem | |||
===Utilizzo di certificati specifici=== | |||
Generare i certificati con un metodo conosciuto. | Generare i certificati con un metodo conosciuto. | ||
Revision as of 14:20, 6 November 2008
Obiettivo: permettere l'invio di email con protocollo cifrato SSL Soluzione: attivare le opzioni tls
Verifica supporto TLS
Verificare che si abbia installato postifx-tls e non solo postfix
dpkg -l | grep postfix ii postfix 2.1.5-9 A high-performance mail transport agent ii postfix-tls 2.1.5-9 TLS and SASL support for Postfix
Copia dei certificati ssl
Utilizzo dei certificati standard
I certificati sono:
/etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/certs/ssl-cert-snakeoil.pem
Utilizzo di certificati specifici
Generare i certificati con un metodo conosciuto.
Copiare poi
- il certificato pubblico della C.A.
- il certificato pubblico del server smtp
- la chiave privata dell'smtp sena password
in /etc/postfix
cp /etc/ssl/mail.galimberti.net.nopwkey.pem /etc/postfix/mail.galimberti.net.key cp /etc/ssl/mail.galimberti.net.newcert.pem /etc/postfix/mail.galimberti.net.pem cp /etc/ssl/galimberti.net/cacert.pem /etc/postfix/ca.galimberti.net.crt
Configurazione di Postfix per SSL
Configurare postfix per l'uso di TLS:
cat >> /etc/postfix/main.cf <<'EOFile' ## TLS # Transport Layer Security # smtpd_use_tls = yes #smtpd_tls_auth_only = yes # uncomment this to force use of smtp auth only for # ssl connections smtpd_tls_key_file = /etc/postfix/mail.galimberti.net.pem smtpd_tls_cert_file = /etc/postfix/mail.galimberti.net.crt smtpd_tls_CAfile = /etc/postfix/ca.galimberti.net.crt smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom EOFile
Riavviare postfix
/etc/init.d/postfix stop; /etc/init.d/postfix start
Verifica del supporto TLS
Telnettare sulla porta 25 e verificare la risposta al comando STARTTLS:
C: [root@example.com]# telnet mail.example.com 25 S: 220 mail.example.com ESMTP Postfix (1.1.5) C: EHLO example.com S: 250-mail.example.com S: 250-PIPELINING S: 250-SIZE 10240000 S: 250-VRFY S: 250-ETRN S: 250-STARTTLS S: 250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 GSSAPI S: 250-AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5 GSSAPI S: 250-XVERP S: 250 8BITMIME C: STARTTLS S: 220 Ready to start TLS
Attivazione del supporto per la porta 465
Se si vuole attivare anche il metodo con SSL wwrapper sulla porta 465, scommentare e modificare le sueguenti righe in /etc/postfix/master.cf:
# only used by postfix-tls tlsmgr fifo n - - 300 1 tlsmgr smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes 587 inet n - - - - smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
inoltre aggiungere la configurazione sasl anche per smtps:
cd /etc/postfix/sasl sudo cp smtpd.conf smtps.conf
Riavviare sasl e postfix:
/etc/init.d/saslauthd stop killall saslauthd /etc/init.d/saslauthd start /etc/init.d/postfix stop /etc/init.d/postfix start
Controllare le porte in ascolto:
netstat -anp | grep ':25\|:465' tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 16663/master tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 16663/master
Note relative ai client SMTP
Se risulta installato su un client Windows Norton Autoprotect, occorre disabilitare il checking delle email in uscita (Opzioni, email in uscita) altrimenti verrà bloccato l'invio delle email con ssl.