Sommario
Iniziamo dicendo i passaggi per avere una sicurezza decente con la crittografia TLS nelle e-mail, nelle spedizioni web… Partiamo dal presupposto che il server abbia il sistema operativo Linux Centos, ma è simile per le altre distribuzioni.La prima cosa che dobbiamo fare è generare un certificato e una firma digitale. Dal terminale accediamo alla directory /etc/pki/tls/
cd / etc / pki / tls /
Quindi generiamo la firma digitale creata con algoritmo DSA di 1024 byte, per questo utilizziamo openssl che è già installato, generiamo la firma con il seguente comando.
openssl dsaparam 1024 -out dsa1024.pem
Quindi il file dei parametri DSA creato viene utilizzato per creare una chiave con algoritmo DSA e struttura x509 e anche il certificato. Ti faccio ora un esempio che stabilisce una validità per 1095 giorni (tre anni) per i quali creiamo un certificato creato.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
Una volta completato il passaggio precedente, possiamo eliminare (per sicurezza) il file dei parametri dsa1024, pem (usa il comando rm e lo elimini). Ora sono stati creati 2 file: la chiave e il certificato, quindi dobbiamo dare loro i permessi di sola lettura, non dimenticarlo.
chmod 400 certificati / smtp.crt chmod 400 privato / smtp.key
Ora dobbiamo andare alla directory /etc/pki/colombaia/ con il seguente comando
cd / etc / pki / dovecot /
Possiamo rimuovere tutti i certificati generici per pulire i file inutilizzati
rm -f private / dovecot.pem certs / dovecot.pem
Quindi dobbiamo creare la firma digitale e il certificato per Dovecot che è il server IMAP e POP3. Dovecot richiede l'uso di una chiave di algoritmo RSA da 1024 byte con struttura X.509. Nell'esempio seguente, viene impostata una validità di 1095 giorni (tre anni) per il certificato creato. Creiamo la chiave
openssl req -x509 -nodes -newkey rsa: 1024 -days 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Creiamo il certificato
openssl x509 -subject -fingerprint -noout -in certs / dovecot.pem
Concediamo solo permessi di lettura ai certificati
chmod 400 private / dovecot.pem certs / dovecot.pem
Infine configuriamo Postfix. Torniamo alla directory principale e modifichiamo il file /etc/postfix/master.cf
All'interno dei file dobbiamo rimuovere il # davanti alle righe in modo che non vengano commentate e quindi che possano essere eseguite.
smtp inet n - n - - smtpd submission inet n - n - - smtpd -o smtpd_tls_security_level = encrypt -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = allow_sasl_authenticated, smomasmtplter_security_tlssmINING -o smtrapname, rifiuta -o smtrapname-in-macrops_data, rifiuta -o smtrapname-OR smtrapname, rifiuta -o smtrapname-OR smtrapname, rifiuta-smtrapIN-o-macropsname, rifiuta-smtrapname-OR-smtrapname, rifiuta-smtrapname_data, rifiuta -o smtrapname yes -o smtpd_sasl_auth_enable = yes -o smtpd_client_restrictions = allow_sasl_authenticated, rifiuta -o milter_macro_daemon_name = ORIGINATING
Quindi configuriamo /etc/postfix/main.cf Dove cambiamo le righe con dominio generico per:
# Definire il nome host del sistema (nome host). myhostname = mail.domain.com # Definisce il dominio principale da gestire. miodominio = dominio.com
Nel file /etc/dovecot/conf.d/10-ssl.conf, dobbiamo anche decommentare le seguenti righe:
ssl = si ssl_cert =
Avviamo i servizi in modo che i certificati vengano riconosciuti e con il comando servizio XXX inizio aggiungiamo questi servizi all'avvio del sistema.
chkconfig dovecot on chkconfig postfix on service saslauthd start service dovecot start service postfix restart
In questo modo, come puoi vedere, avremo TLS ben configurato e attivo per crittografare la nostra posta sia in fase di ricezione che di invio. Spero che tu possa trovare utile come ne avevo bisogno non molto tempo fa.Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
