Шифрование трафика в Postfix
Теперь настроим работу Postfix с сертификатами
В файл /etc/postfix/main.cf добавим строки
smtpd_tls_auth_only = yes
smtp_use_tls = yes
smtpd_use_tls = yes
ssl_cert = < /etc/letsencrypt/live/mail.cnmcyber.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.cnmcyber.com/privkey.pem
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache
smtp_tls_note_starttls_offer = yes
Расшифровка параметров
smtp_use_tls - использовать TLS, если удаленный сервер сообщает о поддержке TLS,
smtpd_use_tls - сообщать клиентам о поддержке TLS,
smtpd_tls_auth_only - использовать аутентификацию SMTP только для TLS-соединений, smtpd_tls_key_file - местонахождение закрытого ключа сервера,
smtpd_tls_cert_file - местонахождение сертификата сервера,
smtpd_tls_session_cache_database - файл в котором хранится кэш tls-сессии
smtp_tls_note_starttls_offer - фиксировать в логах имена серверов, выдают сообщение STARTTLS, поддержка TLS для которых не включена.
smtpd_tls_CAfile - местонахождение доверенного сертификата
Включаем SMTP submission
В файле /etc/postfix/master.cf допишем (или раскомментируйте) следующие строки:
submission inet n - - - - smtpd
-o syslog_name = postfix / submission
-o smtpd_tls_security_level = encrypt
-o smtpd_sasl_auth_enable = yes
-o smtpd_relay_restrictions = permit_sasl_authenticated, reject
Настройка работы Dovecot.
Для Dovecot можем использовать те же сертификаты, что и для Postfix.
В файле /etc/dovecot/conf.d/10-ssl.conf прописываем параметры
# Включаем поддержку шифрования
ssl = yes
# Указываем путь к файлам с закрытым ключом и сертификатом
ssl_cert = < /etc/letsencrypt/live/mail.cnmcyber.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.cnmcyber.com/privkey.pem
После этих действий нужно перезапустить Postfix и Dovecot
service postfix restart
service dovecot restart
Теперь наш почтовый сервер поддерживает шифрованные соединения и для клиентов доступен порт 587 для отправки электронных писем и порт 993 для шифрованного IMAP .