On peut forcer l'envoi des e-mails chiffrés avec TLS (anciennement nommé “SSL”) en ajoutant dans “/etc/postfix/main.cf”:

smtp_tls_security_level = may
smtp_tls_loglevel = 1

“may” ⇒ si le serveur propose TLS , alors l'utiliser.

Si on est un simple “relay” d'e-mail, on peut augmenter d'un cran la sécurité en spécifiant l'empreinte de chiffrement du serveur avec lequel on va communiquer.

En md5, pour extraire l'empreinte d'un fichier “.pem” du serveur de mail :

# openssl x509 -noout -fingerprint -md5 -in /etc/ssl/certs/ssl-cert-smtp-thierry-jaouen-fr.pem
MD5 Fingerprint=D7:6A:AB:19:24:79:F8:32:AB:A7:CB:66:82:C0:8E:9B:EF:29:8A:1A

Sur le “relay”, composer un fichier /etc/postfix/tls_policy :

[smtp.local.eez.fr]     fingerprint
        match=D7:6A:AB:19:24:79:F8:32:AB:A7:CB:66:82:C0:8E:9B:EF:29:8A:1A

Où “smtp.local.eez.fr” est le nom de mon serveur…

# postmap tls_policy

Puis ajouter dans /etc/postfix/main.cf :

smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_fingerprint_digest = md5
#smtp_tls_note_starttls_offer = yes

# postfix reload

• http://wiki.linuxwall.info/doku.php/fr:ressources:dossiers:postfix:smtp_tls
• http://shellandmore.com/how-to-enable-ssl-for-outgoing-mail-in-postfix/