Obsah
Začneme tím, že si řekneme kroky k zajištění slušného zabezpečení pomocí šifrování TLS v e -mailech, webových zásilkách … Předpokládáme, že server má operační systém Linux Centos, ale u ostatních distribucí je podobný.První věc, kterou musíme udělat, je vygenerovat certifikát a digitální podpis. Z terminálu přistupujeme do adresáře / etc / pki / tls /
cd / etc / pki / tls /
Poté vygenerujeme digitální podpis vytvořený pomocí algoritmu DSA o velikosti 1024 bajtů, k tomu použijeme openssl, který je již nainstalován, vygenerujeme podpis následujícím příkazem.
openssl dsaparam 1024 -out dsa1024.pem
Poté se z vytvořeného souboru parametrů DSA vytvoří klíč s algoritmem DSA a strukturou x509 a také certifikát. Nyní vám uvedu příklad, který stanoví platnost na 1095 dní (tři roky), pro které vytvoříme vytvořený certifikát.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
Jakmile je předchozí krok dokončen, můžeme soubor parametrů odstranit (z důvodu zabezpečení) dsa1024, pem (použijte příkaz rm a smažete ho). Nyní byly vytvořeny 2 soubory: klíč a certifikát, takže jim musíme dát oprávnění jen pro čtení, nezapomeňte na to.
chmod 400 certs / smtp.crt chmod 400 private / smtp.key
Nyní musíme přejít do adresáře / etc / pki / dovecot / s následujícím příkazem
cd / etc / pki / dovecot /
Můžeme odebrat všechny obecné certifikáty a vyčistit nepoužívané soubory
rm -f private / dovecot.pem certs / dovecot.pem
Poté musíme vytvořit digitální podpis a certifikát pro Dovecot, což je server IMAP a POP3. Dovecot vyžaduje použití 1024bajtového klíče algoritmu RSA se strukturou X.509. V níže uvedeném příkladu je pro vytvořený certifikát nastavena platnost 1095 dní (tři roky). Vytváříme klíč
openssl req -x509 -nodes -newkey rsa: 1024 -days 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Vytvoříme certifikát
openssl x509 -subject -fingerprint -noout -in certs / dovecot.pem
Certifikátům udělujeme pouze oprávnění ke čtení
chmod 400 private / dovecot.pem certs / dovecot.pem
Nakonec nakonfigurujeme Postfix. Vrátíme se do kořenového adresáře a soubor upravíme /etc/postfix/master.cf
V souborech musíme odstranit # před řádky, aby nebyly komentovány a poté mohly být provedeny.
smtp inet n - n - - odesílání smtpd n - n - - smtpd -o smtpd_tls_security_level = šifrování -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = permit_sterling -o název smtrap, odmítnout -o název_trestapu-v-makrops_datum, odmítnout -o název_trému-NEBO jméno -o smtrapname ano -o smtpd_sasl_auth_enable = ano -o smtpd_client_restrictions = permit_sasl_authenticated, odmítnout -o milter_macro_daemon_name = ORIGINATING
Poté nakonfigurujeme /etc/postfix/main.cf Kde měníme řádky s obecnou doménou pro:
# Definujte název hostitele systému (název hostitele). myhostname = mail.domain.com # Definujte hlavní doménu, kterou chcete spravovat. mydomain = doména.com
V souboru /etc/dovecot/conf.d/10-ssl.conf, musíme také odkomentovat následující řádky:
ssl = yes ssl_cert =
Služby spouštíme tak, aby byly certifikáty rozpoznány, a příkazem služba XXX spuštění přidáváme tyto služby při spuštění systému.
chkconfig dovecot na chkconfig postfix na službě saslauthd start service dovecot start service postfix restart
Tímto způsobem, jak vidíte, budeme mít TLS dobře nakonfigurovaný a aktivní pro šifrování naší pošty jak při příjmu, tak při odesílání. Doufám, že vám bude užitečné, jak jsem to ještě nedávno potřeboval.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
