From 9a73e5c154a79682f18b249017cad16f7e4ead51 Mon Sep 17 00:00:00 2001 From: gcolpart Date: Thu, 23 Feb 2017 20:47:59 +0100 Subject: [PATCH] Ajout section SSL/TLS --- HowtoPostfix.md | 68 +++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 68 insertions(+) diff --git a/HowtoPostfix.md b/HowtoPostfix.md index 9541bf97..4e686c45 100644 --- a/HowtoPostfix.md +++ b/HowtoPostfix.md @@ -111,6 +111,74 @@ On fera ensuite : Voir HowtoMail/Postfix +### SSL/TLS + + + +#### Activation SSL/TLS au niveau serveur SMTP (smtpd) + +Activer SSL/TLS au niveau serveur SMTP permet la réception d'emails depuis des clients SMTP capables d'envoyer en SSL/TLS. + +Il faut générer une clé privée et un certificat, voir [HowtoSSL](). +On peut ensuite activer via le fichier `/etc/postfix/main.cf` : + +~~~ +smtpd_tls_security_level = may +smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3 +smtpd_tls_protocols=!SSLv2,!SSLv3 +smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache +smtpd_tls_loglevel = 1 +smtpd_tls_key_file = /etc/ssl/private/smtp.example.com.key +smtpd_tls_cert_file = /etc/ssl/certs/smtp.example.com.crt +smtpd_tls_CAfile = /etc/ssl/certs/GandiStandardSSLCA2.pem +~~~ + +> *Note* : la désactivation des protocoles SSLv2 et SSLv3 est désormais par défaut, mais on préfère garder cette option + +Pour l'envoi d'emails depuis des clients SMTP authentifiés (*smtpd_sasl_auth_enable=yes*), on active en général le port TCP/587 (appelé _SMTP Submission_) qui n'accepte que des connexions chiffrées (*smtpd_tls_security_level=encrypt*) et le port TCP/465 (appelé _SMTPS_) qui n'accepte que des connexions SMTP over TLS (*smtpd_tls_wrappermode=yes*). Ces activations se font en décommentant les lignes appropriées dans `/etc/postfix/master.cf`. + +On peut ensuite vérifier l’activation de SSL/TLS au niveau serveur en obtenant le message `STARTTLS` dans une session SMTP : + +~~~ +$ telnet bugs.debian.org 25 +Trying 209.87.16.39... +Connected to bugs.debian.org. +Escape character is '^]'. +220 buxtehude.debian.org +EHLO example.com +250-buxtehude.debian.org Hello example.com [80.12.63.254] +250-SIZE 104857600 +250-8BITMIME +250-STARTTLS +250 HELP +QUIT +221 buxtehude.debian.org closing connection +Connection closed by foreign host. +~~~ + +On peut également utiliser une connexion chiffrée avec un serveur SMTP via la commande : + +~~~ +$ openssl s_client -CApath /etc/ssl/certs -connect smtp.example.com:25 -crlf -starttls smtp +~~~ + +#### Activation SSL/TLS au niveau client SMTP (smtp) + +Activer SSL/TLS au niveau client SMTP permet d'envoyer des emails vers des serveurs SMTP capables de recevoir en SSL/TLS. + +On active cela via le fichier `/etc/postfix/main.cf` : + +~~~ +smtp_tls_security_level = may +smtp_tls_mandatory_protocols=!SSLv2,!SSLv3 +smtp_tls_protocols=!SSLv2,!SSLv3 +smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache +smtp_tls_loglevel = 1 +~~~ + +> *Note* : la désactivation des protocoles SSLv2 et SSLv3 est désormais par défaut, mais on préfère garder cette option + + ## Administration ### Logs