Postfix, certifikat för serverautentisering

Original: http://asyd.net/home/docs/system/postfix/tls

 

Problemet med den ökande användningen av bärbara datorer: hur man kan skicka mail från alla nätverk (förstå ISP) utan att behöva redigera konfigurationen av MTA (mail transport agent, postfix) eller MUA (Mail user agent, mutt, thunderbird eller kmail) och säkert?

De medel som vanligtvis används är att använda autentisering av par login / lösenord (SASL). Skydda lösenord flödar i klara, med TLS (kryptering strömmen). Detta är en effektiv lösning, men SASL konfiguration kan ibland vara svårt.
Konfigurationen av TLS ifrågasätta på något sätt skapande, spridning och användning av certifikat, kan dra nytta av autentisering av dessa funktion att ersätta par login / lösenord.
Obs: Denna artikel täcker inte skapandet av certifikat.
Serverkonfiguration

main.cf

smtpd_recipient_restrictions =
       [..]
       permit_tls_clientcerts,
       [..]

relay_clientcerts = hash:/etc/postfix/relay_clientcerts

smtpd_tls_CAfile = /etc/ssl/local/asyd-dot-net-ca.pem
smtpd_tls_cert_file = /etc/ssl/local/kaoru.asyd.net.pem
smtpd_tls_key_file = /etc/ssl/local/kaoru.asyd.net.pem
smtpd_use_tls = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_req_ccert = yes
smtpd_tls_ccert_verifydepth = 5
smtpd_tls_loglevel = 1

 

relay_clientcerts

Den här filen består av två fält avgränsade med ett tomt tecken (blanksteg eller TABB):
  • fingeravtrycket av intyget, och
  • dns, användning av jokertecken (*) för fältet att vara auktoriserad.

 

5B:57:FE:31:CA:69:3D:FB:9E:99:22:9D:2B:8B:89:73   *.montravail.com
42:4A:62:71:DF:FC:3D:47:FA:27:77:D0:BB:46:8B:05   *

Fingeravtrycket av certifikatet kan fås med följande kommando:
# openssl x509 -fingerprint -noout -md5 -in fichier
MD5 Fingerprint=5B:57:FE:31:CA:69:3D:FB:9E:99:22:9D:2B:8B:89:73

master.cf

Kolla efter en post för tjänsten tlsmgr.
Klientkonfiguration

main.cf

relayhost = kaoru.asyd.net

smtp_tls_cert_file = /etc/ssl/local/laptop.pem
smtp_tls_key_file = $smtp_tls_cert_file
smtp_tls_CAfile = /etc/ssl/local/asyd-dot-net-ca.pem
smtp_tls_loglevel = 1
smtp_use_tls = yes
smtp_tls_per_site = hash:/etc/postfix/tls_per_site
smtp_enforce_tls = yes

 

tls_per_site

 <nomdns>       <policy>

Med följande policy: ingen, maj, måste, MUST_NOPEERMATCH

master.cf

Kolla efter en post för tjänsten tlsmgr.

Referenser

  • Postfix/TLS

Comments are closed.