[5] Poczta – SSL/TLS
3 lutego 2022Skonfiguruj SSL/TLS na serwerze pocztowym do szyfrowania połączeń.
[1] Pobierz certyfikaty SSL/TLS. Możesz użyć z Let’s Encrypt lub swoich własnych wygenerowanych.
[2] Skonfiguruj Postfisa i Dovecota.
[root@vlsr01 ~]# mcedit /etc/postfix/main.cf #linie 710, 716 : comment out #smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem #smtpd_tls_key_file = /etc/pki/tls/private/postfix.key #dodaj na końcu pliku (zamień na właściwe dla Ciebie pliki) smtpd_use_tls = yes smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_cert_file = /etc/pki/tls/certs/mail_server.crt smtpd_tls_key_file = /etc/pki/tls/certs/mail_server.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache [root@vlsr01 ~]# mcedit /etc/postfix/master.cf #linie 17,18,20: odkomentuj submission inet n - n - - smtpd -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes #linie 29-32: odkomentuj smtps inet n - n - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes [root@vlsr01 ~]# mcedit /etc/dovecot/conf.d/10-ssl.conf #linia 8: zmień (jeśli SSL jest wymagany to wpisz [required]) ssl = yes #linia 14,15: wpisz ścieżki dostępu do właściwych plików ssl_cert = </etc/pki/tls/certs/mail_server.crt ssl_key = </etc/pki/tls/certs/mail_server.key [root@vlsr01 ~]# systemctl restart postfix [root@vlsr01 ~]# systemctl restart dovecot
[3] Jeżeli SELinux jest włączony, przywróć kontekst dla certyfikatów.
#wpisz ścieżki do właściwych Tobie plików [root@vlsr01 ~]# restorecon -v /etc/pki/tls/certs/mail_server.key [root@vlsr01 ~]# restorecon -v /etc/pki/tls/certs/mail_server.crt
[4] Jeżeli Firewalld jest uruchomiony zezwól na działanie w sieci dla następujących usług: SMTP-Submission/SMTPS/POP3S/IMAPS. SMTP-Submission używa [587/TCP] (używa STARTTLS), SMTPS używa [465/TCP], POP3S używa [995/TCP], IMAPS używa [993/TCP].
[root@vlsr01 ~]# firewall-cmd --add-service={smtp-submission,smtps,pop3s,imaps} --permanent [root@vlsr01 ~]# firewall-cmd –reload
[5] Ustawienia klienta pocztowego – Mozilla Thunderbird.
- Otwórz właściwości konta i przejdź do [Konfiguracja serwera] w lewym panelu, a następnie wybierz [STARTTLS] lub [SSL/TLS] w polu [Ustawienia zabezpieczeń]/[Bezpieczeństwo połączenia] w prawym panelu (ten przykład pokazuje, jak wybrać [STARTTLS]).
- Przejdź do [Poczta wychodząca] w lewym panelu, a następnie kliknij przycisk [Edytuj] w prawym panelu.
- Zmień [Port] w [Ustawienia] na 587 oraz wybierz [STARTTLS] lub [SSL/TLS] w polu [Bezpieczeństwo połączenia] w [Zabezpieczenia i uwierzytelnianie]. ([STARTTLS] używa [587], [SSL/TLS] używa 465, ten przykład pokazuje, aby wybrać [STARTTLS]). Kliknij [OK], a następnie zamknij [Konfiguracja kont].
[6] Sprawdź czy możliwe jest wysyłanie i odbieranie meili, gdy ustawione jest SSL/TLS.