Table des matières
Nous commençons par dire les étapes pour avoir une sécurité décente avec le cryptage TLS dans les e-mails, les envois Web… Nous supposons que le serveur dispose du système d'exploitation Linux Centos, mais c'est similaire pour les autres distributions.La première chose que nous devons faire est de générer un certificat et une signature numérique. Depuis le terminal on accède au répertoire /etc/pki/tls/
cd/etc/pki/tls/
Ensuite, nous générons la signature numérique créée avec l'algorithme DSA de 1024 octets, pour cela nous utilisons openssl qui est déjà installé, nous générons la signature avec la commande suivante.
openssl dsaparam 1024 -out dsa1024.pem
Ensuite, le fichier de paramètres DSA créé est utilisé pour créer une clé avec l'algorithme DSA et la structure x509 ainsi que le certificat. Je vous donne maintenant un exemple qui établit une validité de 1095 jours (trois ans) pour laquelle nous créons un certificat créé.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
Une fois l'étape précédente terminée nous pouvons supprimer (par sécurité) le fichier de paramètres dsa1024, pem (utilisez la commande rm et vous le supprimez). Maintenant 2 fichiers ont été créés : la clé et le certificat, il faut donc leur donner des autorisations en lecture seule, ne l'oubliez pas.
chmod 400 certs / smtp.crt chmod 400 privé / smtp.key
Maintenant il faut aller dans le répertoire / etc / pki / pigeonnier / avec la commande suivante
cd / etc / pki / pigeonnier /
Nous pouvons supprimer tous les certificats génériques pour nettoyer les fichiers inutilisés
rm -f privé / dovecot.pem certs / dovecot.pem
Ensuite, nous devons créer la signature numérique et le certificat pour Dovecot qui est le serveur IMAP et POP3. Dovecot nécessite l'utilisation d'une clé d'algorithme RSA de 1024 octets avec une structure X.509. Dans l'exemple ci-dessous, une validité de 1095 jours (trois ans) est définie pour le certificat créé. Nous créons la clé
openssl req -x509 -nodes -newkey rsa: 1024 -days 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Nous créons le certificat
openssl x509 -subject -fingerprint -noout -in certs / dovecot.pem
Nous accordons uniquement des autorisations de lecture aux certificats
chmod 400 privé / dovecot.pem certs / dovecot.pem
Enfin, nous configurons Postfix. Nous retournons au répertoire racine et éditons le fichier /etc/postfix/master.cf
A l'intérieur des fichiers, nous devons supprimer le # devant les lignes afin qu'elles ne soient pas commentées et qu'elles puissent ensuite être exécutées.
smtp inet n - n - - smtpd soumission iNet n - n - - smtpd -o smtpd_tls_security_level = Crypter -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = permit_sasl_authenticated, rejeter -o smtpd_tls_security_level - ou smtpDINMONING -o milter_macrops-o smtrapname, rejeter o-milter_macrops -o smtrapname, rejeter -o smtrapname-in-macrops_data, rejeter -o smtrapname-OR smtrapname, rejeter -o smtrapname-OR smtrapname, rejeter-smtrapIN-o-macropsname, rejeter-smtrapname-OR-smtrapname, rejeter-smtrapname_data, -o smtrapname oui -o smtpd_sasl_auth_enable = oui -o smtpd_client_restrictions = permit_sasl_authenticated, rejeter -o milter_macro_daemon_name = ORIGINANT
Ensuite, nous configurons /etc/postfix/main.cf Où l'on change les lignes avec domaine générique pour :
# Définir le nom d'hôte du système (hostname). myhostname = mail.domain.com # Définir le domaine principal à gérer. mondomaine = domaine.com
Dans le fichier /etc/dovecot/conf.d/10-ssl.conf, il faut aussi décommenter les lignes suivantes :
ssl = oui ssl_cert =
On démarre les services pour que les certificats soient reconnus et avec la commande début du service XXX nous ajoutons ces services au démarrage du système.
chkconfig colombier sur chkconfig postfix sur le service saslauthd démarrer le service colombier démarrer le service postfix redémarrer
De cette façon, comme vous pouvez le voir, nous aurons TLS bien configuré et actif pour crypter notre courrier à la fois lors de la réception et de l'envoi. J'espère que vous trouverez utile comment j'en avais besoin il n'y a pas longtemps.Avez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif
