Ajout section SSL/TLS
This commit is contained in:
parent
aabb4699d2
commit
9a73e5c154
|
@ -111,6 +111,74 @@ On fera ensuite :
|
||||||
|
|
||||||
Voir HowtoMail/Postfix
|
Voir HowtoMail/Postfix
|
||||||
|
|
||||||
|
### SSL/TLS
|
||||||
|
|
||||||
|
<http://www.postfix.org/TLS_README.html>
|
||||||
|
|
||||||
|
#### Activation SSL/TLS au niveau serveur SMTP (smtpd)
|
||||||
|
|
||||||
|
Activer SSL/TLS au niveau serveur SMTP permet la réception d'emails depuis des clients SMTP capables d'envoyer en SSL/TLS.
|
||||||
|
|
||||||
|
Il faut générer une clé privée et un certificat, voir [HowtoSSL]().
|
||||||
|
On peut ensuite activer via le fichier `/etc/postfix/main.cf` :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
smtpd_tls_security_level = may
|
||||||
|
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
|
||||||
|
smtpd_tls_protocols=!SSLv2,!SSLv3
|
||||||
|
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
|
||||||
|
smtpd_tls_loglevel = 1
|
||||||
|
smtpd_tls_key_file = /etc/ssl/private/smtp.example.com.key
|
||||||
|
smtpd_tls_cert_file = /etc/ssl/certs/smtp.example.com.crt
|
||||||
|
smtpd_tls_CAfile = /etc/ssl/certs/GandiStandardSSLCA2.pem
|
||||||
|
~~~
|
||||||
|
|
||||||
|
> *Note* : la désactivation des protocoles SSLv2 et SSLv3 est désormais par défaut, mais on préfère garder cette option
|
||||||
|
|
||||||
|
Pour l'envoi d'emails depuis des clients SMTP authentifiés (*smtpd_sasl_auth_enable=yes*), on active en général le port TCP/587 (appelé _SMTP Submission_) qui n'accepte que des connexions chiffrées (*smtpd_tls_security_level=encrypt*) et le port TCP/465 (appelé _SMTPS_) qui n'accepte que des connexions SMTP over TLS (*smtpd_tls_wrappermode=yes*). Ces activations se font en décommentant les lignes appropriées dans `/etc/postfix/master.cf`.
|
||||||
|
|
||||||
|
On peut ensuite vérifier l’activation de SSL/TLS au niveau serveur en obtenant le message `STARTTLS` dans une session SMTP :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
$ telnet bugs.debian.org 25
|
||||||
|
Trying 209.87.16.39...
|
||||||
|
Connected to bugs.debian.org.
|
||||||
|
Escape character is '^]'.
|
||||||
|
220 buxtehude.debian.org
|
||||||
|
EHLO example.com
|
||||||
|
250-buxtehude.debian.org Hello example.com [80.12.63.254]
|
||||||
|
250-SIZE 104857600
|
||||||
|
250-8BITMIME
|
||||||
|
250-STARTTLS
|
||||||
|
250 HELP
|
||||||
|
QUIT
|
||||||
|
221 buxtehude.debian.org closing connection
|
||||||
|
Connection closed by foreign host.
|
||||||
|
~~~
|
||||||
|
|
||||||
|
On peut également utiliser une connexion chiffrée avec un serveur SMTP via la commande :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
$ openssl s_client -CApath /etc/ssl/certs -connect smtp.example.com:25 -crlf -starttls smtp
|
||||||
|
~~~
|
||||||
|
|
||||||
|
#### Activation SSL/TLS au niveau client SMTP (smtp)
|
||||||
|
|
||||||
|
Activer SSL/TLS au niveau client SMTP permet d'envoyer des emails vers des serveurs SMTP capables de recevoir en SSL/TLS.
|
||||||
|
|
||||||
|
On active cela via le fichier `/etc/postfix/main.cf` :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
smtp_tls_security_level = may
|
||||||
|
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
|
||||||
|
smtp_tls_protocols=!SSLv2,!SSLv3
|
||||||
|
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
|
||||||
|
smtp_tls_loglevel = 1
|
||||||
|
~~~
|
||||||
|
|
||||||
|
> *Note* : la désactivation des protocoles SSLv2 et SSLv3 est désormais par défaut, mais on préfère garder cette option
|
||||||
|
|
||||||
|
|
||||||
## Administration
|
## Administration
|
||||||
|
|
||||||
### Logs
|
### Logs
|
||||||
|
|
Loading…
Reference in a new issue