Мы начнем с того, что говорим о том, как обеспечить достойную защиту с помощью шифрования TLS в электронной почте, при отправке через Интернет ... Мы предполагаем, что на сервере установлена операционная система Centos Linux, но она аналогична для других дистрибутивов.
Первое, что мы должны сделать, это сгенерировать сертификат и цифровую подпись. Из терминала мы получаем доступ к каталогу / etc / pki / tls /
cd / etc / pki / tls /
Затем мы генерируем цифровую подпись, созданную с помощью алгоритма DSA из 1024 октетов, для этого мы используем уже установленный openssl, мы генерируем подпись с помощью следующей команды.
openssl dsaparam 1024 -out dsa1024.pem
Затем созданный файл параметров DSA используется для создания ключа с алгоритмом DSA и структурой x509, а также сертификата. Я приведу вам пример, который устанавливает срок действия в течение 1095 дней (три года), для которого мы создаем созданный сертификат.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
После завершения предыдущего шага мы можем удалить (для безопасности) файл параметров dsa1024, pem (используйте команду rm и удалите его). Теперь создано 2 файла: ключ и сертификат, поэтому мы должны предоставить им права только для чтения, об этом нельзя забывать.
chmod 400 certs / smtp.crt chmod 400 private / smtp.key
Теперь мы должны перейти в каталог / etc / pki / dovecot / с помощью следующей команды
cd / etc / pki / dovecot /
Мы можем удалить все общие сертификаты для очистки неиспользуемых файлов
rm -f частный / dovecot.pem certs / dovecot.pem
Затем мы должны создать цифровую и сертифицированную подпись для Dovecot, который является сервером IMAP и POP3. Dovecot требует использования ключа с алгоритмом RSA 1024 октета, со структурой X.509. В приведенном ниже примере срок действия сертификата устанавливается в течение 1095 дней (три года). Мы создаем ключ
openssl req -x509 -nodes -newkey rsa: 1024 -days 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Мы создаем сертификат
openssl x509 -subject -fingerprint -noout -in certs / dovecot.pem
Мы даем разрешение на чтение сертификатов
chmod 400 private / dovecot.pem certs / dovecot.pem
Наконец мы настраиваем Postfix. Возвращаемся в корневой каталог и редактируем файл /etc/postfix/master.cf
В файлах мы должны удалить # перед строками, чтобы они не были прокомментированы, а затем чтобы их можно было выполнить.
инет п SMTP - п - - smtpd представление инет п - п - - smtpd -о -о smtpd_tls_security_level = шифровать smtpd_sasl_auth_enable = да -o smtpd_client_restrictions = permit_sasl_authenticated, отклонить или milter_macro_daemon_name = БЕРУЩИХ SMTPs инет п - п - - smtpd -o smtpd_tls_wrappermode = да -o smtpd_sasl_auth_enable = да -o smtpd_client_restrictions = allow_sasl_authenticated, отклонить -o milter_macro_daemon_name = ORIGINATING
Затем мы настраиваем /etc/postfix/main.cf, где мы изменяем строки с общим доменом:
# Определить системное имя хоста (hostname). myhostname = mail.domain.com # Определите основной домен для управления. mydomain = domain.com
В файле /etc/dovecot/conf.d/10-ssl.conf мы также должны раскомментировать следующие строки:
ssl = да ssl_cert =
Мы запускаем службы таким образом, чтобы сертификаты распознавались, и с помощью команды запуска XXX службы мы добавляем эти службы к запуску системы.chkconfig dovecot на chkconfig постфикс на сервисе saslauthd запустить сервис dovecot запустить сервис постфиксный перезапуск
Таким образом, как вы можете видеть, у нас будет настроен и активен TLS для шифрования наших электронных писем как при получении, так и при отправке. Надеюсь, это поможет вам так, как мне было нужно не так давно.
- 0
СТАТЬИ