[5] Poczta – SSL/TLS

3 lutego 2022 Wyłączono przez Adam [zicherka] Nogły

Skonfiguruj SSL/TLS na serwerze pocztowym do szyfrowania połączeń.

[1] Pobierz certyfikaty SSL/TLS. Możesz użyć z Let’s Encrypt lub swoich własnych wygenerowanych.

[2] Skonfiguruj Postfisa i Dovecota.

[root@vlsr01 ~]# mcedit /etc/postfix/main.cf
#linie 710, 716 : comment out
#smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem
#smtpd_tls_key_file = /etc/pki/tls/private/postfix.key
#dodaj na końcu pliku (zamień na właściwe dla Ciebie pliki)
smtpd_use_tls = yes
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_cert_file = /etc/pki/tls/certs/mail_server.crt
smtpd_tls_key_file = /etc/pki/tls/certs/mail_server.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

[root@vlsr01 ~]# mcedit /etc/postfix/master.cf
#linie 17,18,20: odkomentuj
submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
#linie 29-32: odkomentuj
smtps     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes

[root@vlsr01 ~]# mcedit /etc/dovecot/conf.d/10-ssl.conf
#linia 8: zmień (jeśli SSL jest wymagany to wpisz [required])
ssl = yes
#linia 14,15: wpisz ścieżki dostępu do właściwych plików
ssl_cert = </etc/pki/tls/certs/mail_server.crt
ssl_key = </etc/pki/tls/certs/mail_server.key

[root@vlsr01 ~]# systemctl restart postfix
[root@vlsr01 ~]# systemctl restart dovecot

[3] Jeżeli SELinux jest włączony, przywróć kontekst dla certyfikatów.

#wpisz ścieżki do właściwych Tobie plików
[root@vlsr01 ~]# restorecon -v /etc/pki/tls/certs/mail_server.key
[root@vlsr01 ~]# restorecon -v /etc/pki/tls/certs/mail_server.crt

[4] Jeżeli Firewalld jest uruchomiony zezwól na działanie w sieci dla następujących usług: SMTP-Submission/SMTPS/POP3S/IMAPS. SMTP-Submission używa [587/TCP] (używa STARTTLS), SMTPS używa [465/TCP], POP3S używa [995/TCP], IMAPS używa [993/TCP].

[root@vlsr01 ~]# firewall-cmd --add-service={smtp-submission,smtps,pop3s,imaps} --permanent
[root@vlsr01 ~]# firewall-cmd –reload

[5] Ustawienia klienta pocztowego – Mozilla Thunderbird.

  • Otwórz właściwości konta i przejdź do [Konfiguracja serwera] w lewym panelu, a następnie wybierz [STARTTLS] lub [SSL/TLS] w polu [Ustawienia zabezpieczeń]/[Bezpieczeństwo połączenia] w prawym panelu (ten przykład pokazuje, jak wybrać [STARTTLS]).

  • Przejdź do [Poczta wychodząca] w lewym panelu, a następnie kliknij przycisk [Edytuj] w prawym panelu.

  • Zmień [Port] w [Ustawienia] na 587 oraz wybierz [STARTTLS] lub [SSL/TLS] w polu [Bezpieczeństwo połączenia] w [Zabezpieczenia i uwierzytelnianie]. ([STARTTLS] używa [587], [SSL/TLS] używa 465, ten przykład pokazuje, aby wybrać [STARTTLS]). Kliknij [OK], a następnie zamknij [Konfiguracja kont].

[6] Sprawdź czy możliwe jest wysyłanie i odbieranie meili, gdy ustawione jest SSL/TLS.