Postfix
utilise SSL
pour chiffrer les communications smtp
.
Quelques commandes simples, notamment pour voir et changer les clefs de chiffrements.
~~READMORE~~
Par défaut, la configuration de Postfix
dans main.cf
nous dit ça:
# TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes
Examinons ce que dit le fichier /etc/ssl/certs/ssl-cert-snakeoil.pem
:
(Pas besoin d'être root
, ce sont des infos public)
$ openssl x509 -in /etc/ssl/certs/ssl-cert-snakeoil.pem -noout -text ... blabla ... Issuer: CN=mx1.local.eez.fr Validity Not Before: Mar 18 18:28:26 2013 GMT Not After : Mar 16 18:28:26 2023 GMT Subject: CN=mx1.local.eez.fr Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) ... etc ...
C'est bien, mais un petit détail me gène, bien que tout fonctionne:
mx1.local.eez.fr
est un nom interne. Ce n'est pas le nom public (FQDN).
Donc, je vais devoir créer de nouvelles clefs.
Source: http://wiki.debian.org/SSLkeys#Generic_PEM_Generation
# export NAME=mx1-eez-fr
# cd /etc/ssl/private # openssl genrsa 2048 > ssl-cert-${NAME}.key # cd /etc/ssl/certs # openssl req -new -key ../private/ssl-cert-${NAME}.key -x509 -days 3650 -out ssl-cert-${NAME}.pem
Repondre aux questions:
Country Name: FR State or Province: France Locality: Paris Organisation Name: eez.fr Corp Organisation Unit Name: mx Common Name: mx1.eez.fr Email Address: postmaster_nospam@eez.fr
Le “Common Name” doit être le FQDN du (frontal) de mail.
Modifier le fichier /etc/postfix/main.cf
pour avoir:
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-mx1-eez-fr.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-mx1-eez-fr.key
Et enfin:
# postfix reload
Voila.