On peut forcer l'envoi des e-mails chiffrés avec TLS
(anciennement nommé “SSL”) en ajoutant dans “/etc/postfix/main.cf
”:
smtp_tls_security_level = may smtp_tls_loglevel = 1
“may
” ⇒ si le serveur propose TLS
, alors l'utiliser.
Si on est un simple “relay” d'e-mail, on peut augmenter d'un cran la sécurité en spécifiant l'empreinte de chiffrement du serveur avec lequel on va communiquer.
En md5
, pour extraire l'empreinte d'un fichier “.pem
” du serveur de mail :
# openssl x509 -noout -fingerprint -md5 -in /etc/ssl/certs/ssl-cert-smtp-thierry-jaouen-fr.pem MD5 Fingerprint=D7:6A:AB:19:24:79:F8:32:AB:A7:CB:66:82:C0:8E:9B:EF:29:8A:1A
Sur le “relay”, composer un fichier /etc/postfix/tls_policy
:
[smtp.local.eez.fr] fingerprint match=D7:6A:AB:19:24:79:F8:32:AB:A7:CB:66:82:C0:8E:9B:EF:29:8A:1A
Où “smtp.local.eez.fr
” est le nom de mon serveur…
# postmap tls_policy
Puis ajouter dans /etc/postfix/main.cf
:
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy smtp_tls_fingerprint_digest = md5 #smtp_tls_note_starttls_offer = yes
# postfix reload