Spisie treści
Rozpoczynamy od powiedzenia kroków, aby mieć przyzwoite bezpieczeństwo z szyfrowaniem TLS w wiadomościach e-mail, przesyłkach internetowych … Zakładamy, że serwer ma system operacyjny Linux Centos, ale jest podobnie w przypadku innych dystrybucji.Pierwszą rzeczą, którą musimy zrobić, jest wygenerowanie certyfikatu i podpisu cyfrowego. Z terminala uzyskujemy dostęp do katalogu /etc/pki/tls/
cd / etc / pki / tls /
Następnie generujemy podpis cyfrowy utworzony algorytmem DSA 1024 bajtów, do tego używamy już zainstalowanego openssl, generujemy podpis następującym poleceniem.
openssl dsaparam 1024 -out dsa1024.pem
Następnie utworzony plik parametrów DSA służy do tworzenia klucza z algorytmem DSA i strukturą x509 oraz certyfikatu. Podaję teraz przykład, który ustala ważność na 1095 dni (trzy lata), dla których tworzymy utworzony certyfikat.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
Po zakończeniu poprzedniego kroku możemy usunąć (ze względów bezpieczeństwa) plik parametrów dsa1024, pem (użyj polecenia rm i usuniesz go). Teraz zostały utworzone 2 pliki: klucz i certyfikat, więc musimy dać im uprawnienia tylko do odczytu, nie zapomnij o tym.
chmod 400 certyfikaty / smtp.crt chmod 400 private / smtp.key
Teraz musimy przejść do katalogu / etc / pki / gołębnik / z następującym poleceniem
cd / etc / pki / gołębnik /
Możemy usunąć wszystkie certyfikaty ogólne, aby wyczyścić nieużywane pliki
rm -f private / dovecot.pem certs / dovecot.pem
Następnie musimy stworzyć podpis cyfrowy i certyfikat dla Dovecot, czyli serwera IMAP i POP3. Dovecot wymaga użycia 1024-bajtowego klucza algorytmu RSA o strukturze X.509. W poniższym przykładzie dla utworzonego certyfikatu ustawiono ważność 1095 dni (trzy lata). Tworzymy klucz
openssl req -x509 -nodes -newkey rsa: 1024 -dni 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Tworzymy certyfikat
openssl x509 -temat -odcisk palca -noout -w certyfikatach / dovecot.pem
Certyfikatom przyznajemy tylko uprawnienia do odczytu
chmod 400 private / certyfikaty dovecot.pem / dovecot.pem
Na koniec konfigurujemy Postfixa. Wracamy do katalogu głównego i edytujemy plik /etc/postfix/master.cf
Wewnątrz plików musimy usunąć # przed wierszami, aby nie były komentowane i aby można je było wykonać.
SMTP inet n - n - - smtpd składanie inet n - n - - smtpd -o smtpd_tls_security_level = szyfrowania -o smtpd_sasl_auth_enable = tak -o UOVRFAENKGPVATGUVTKEVKQPU = permit_sasl_authenticated odrzucić -o smtpd_tls_security_level - lub smtpDINMONING -o milter_macrops-O smtrapname odrzucić-O milter_macrops -o smtrapname, odrzuć -o smtrapname-w-danych_macrops, odrzuć -o smtrapname-LUB smtrapname, odrzuć -o smtrapname-LUB smtrapname, odrzuć-smtrapIN-o-macropsname, odrzuć-smtrapname-LUB-smtrapname, odrzuć_nazwa_smtrap -o smtrapname yes -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = allow_sasl_authenticated, odrzuć -o milter_macro_daemon_name = POCHODZENIE
Następnie konfigurujemy /etc/postfix/main.cf Gdzie zamieniamy wiersze z domeną generyczną na:
# Zdefiniuj nazwę hosta systemu (nazwę hosta). myhostname = mail.domain.com # Zdefiniuj główną domenę do zarządzania. mojadomena = domena.com
W pliku /etc/dovecot/conf.d/10-ssl.conf, musimy również odkomentować następujące wiersze:
ssl = tak ssl_cert =
Usługi uruchamiamy tak, aby certyfikaty były rozpoznawane i z poleceniem usługa XXX start dodajemy te usługi przy starcie systemu.
chkconfig dovecot on chkconfig postfix on service saslauthd start service dovecot start service postfix restart
W ten sposób, jak widać, TLS będzie dobrze skonfigurowany i aktywny, aby szyfrować naszą pocztę zarówno podczas odbierania, jak i wysyłania. Mam nadzieję, że przyda Ci się to, czego potrzebowałem nie tak dawno temu.Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
