Ajout section SSL/TLS
This commit is contained in:
gcolpart
parent
aabb4699d2
commit
9a73e5c154
|
|
@ -111,6 +111,74 @@ On fera ensuite :
|
|||
|
||||
Voir HowtoMail/Postfix
|
||||
|
||||
### SSL/TLS
|
||||
|
||||
<http://www.postfix.org/TLS_README.html>
|
||||
|
||||
#### Activation SSL/TLS au niveau serveur SMTP (smtpd)
|
||||
|
||||
Activer SSL/TLS au niveau serveur SMTP permet la réception d'emails depuis des clients SMTP capables d'envoyer en SSL/TLS.
|
||||
|
||||
Il faut générer une clé privée et un certificat, voir [HowtoSSL]().
|
||||
On peut ensuite activer via le fichier `/etc/postfix/main.cf` :
|
||||
|
||||
~~~
|
||||
smtpd_tls_security_level = may
|
||||
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
|
||||
smtpd_tls_protocols=!SSLv2,!SSLv3
|
||||
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
|
||||
smtpd_tls_loglevel = 1
|
||||
smtpd_tls_key_file = /etc/ssl/private/smtp.example.com.key
|
||||
smtpd_tls_cert_file = /etc/ssl/certs/smtp.example.com.crt
|
||||
smtpd_tls_CAfile = /etc/ssl/certs/GandiStandardSSLCA2.pem
|
||||
~~~
|
||||
|
||||
> *Note* : la désactivation des protocoles SSLv2 et SSLv3 est désormais par défaut, mais on préfère garder cette option
|
||||
|
||||
Pour l'envoi d'emails depuis des clients SMTP authentifiés (*smtpd_sasl_auth_enable=yes*), on active en général le port TCP/587 (appelé _SMTP Submission_) qui n'accepte que des connexions chiffrées (*smtpd_tls_security_level=encrypt*) et le port TCP/465 (appelé _SMTPS_) qui n'accepte que des connexions SMTP over TLS (*smtpd_tls_wrappermode=yes*). Ces activations se font en décommentant les lignes appropriées dans `/etc/postfix/master.cf`.
|
||||
|
||||
On peut ensuite vérifier l’activation de SSL/TLS au niveau serveur en obtenant le message `STARTTLS` dans une session SMTP :
|
||||
|
||||
~~~
|
||||
$ telnet bugs.debian.org 25
|
||||
Trying 209.87.16.39...
|
||||
Connected to bugs.debian.org.
|
||||
Escape character is '^]'.
|
||||
220 buxtehude.debian.org
|
||||
EHLO example.com
|
||||
250-buxtehude.debian.org Hello example.com [80.12.63.254]
|
||||
250-SIZE 104857600
|
||||
250-8BITMIME
|
||||
250-STARTTLS
|
||||
250 HELP
|
||||
QUIT
|
||||
221 buxtehude.debian.org closing connection
|
||||
Connection closed by foreign host.
|
||||
~~~
|
||||
|
||||
On peut également utiliser une connexion chiffrée avec un serveur SMTP via la commande :
|
||||
|
||||
~~~
|
||||
$ openssl s_client -CApath /etc/ssl/certs -connect smtp.example.com:25 -crlf -starttls smtp
|
||||
~~~
|
||||
|
||||
#### Activation SSL/TLS au niveau client SMTP (smtp)
|
||||
|
||||
Activer SSL/TLS au niveau client SMTP permet d'envoyer des emails vers des serveurs SMTP capables de recevoir en SSL/TLS.
|
||||
|
||||
On active cela via le fichier `/etc/postfix/main.cf` :
|
||||
|
||||
~~~
|
||||
smtp_tls_security_level = may
|
||||
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
|
||||
smtp_tls_protocols=!SSLv2,!SSLv3
|
||||
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
|
||||
smtp_tls_loglevel = 1
|
||||
~~~
|
||||
|
||||
> *Note* : la désactivation des protocoles SSLv2 et SSLv3 est désormais par défaut, mais on préfère garder cette option
|
||||
|
||||
|
||||
## Administration
|
||||
|
||||
### Logs
|
||||
|
|
|
|||
Loading…
Reference in New Issue