7,540
edits
Changes
→Titkosított kapcsolatot használata levélküldésre
=Titkosított kapcsolatot használata levélküldésre=
Az itt leírtaknak semmi köze az IMAP/POP3 szerverrel történő titkosított kommunikációhoz és ahhoz sem, hogy a felhasználók autentikálják e magukat a postfix felé vagy sem. Itt kizárólag azt állítjuk be, hogy mikor a felhasználónk elküld egy levelet a postfixaz MTA <-nek> MTA kommunikáció titkosításáról lesz szó, vagyis hogy TLS felett fogadja és küldje azt el a címzettnek, akkor egy titkosított csatornát használjon, másrészt, mikor a postfix elküldi a levelet a címzett MTA-jának, vagy levelet fogad ünk a feladó MTA-jától, akkor leveleket ha lehet szintén titkosított csatornát használjonvan rá lehetőség.
Sajnos nem minden MTA támogatja a titkosítást, ezért meg kell engedni a titkosítatlan csatorna használatát is az MTA-k között kommunikációban, de a felhasználók felé ki lehet kényszeríteni a titkosítás használatát.
==Main.cf==
Az smtpd_<..> beállítások a démon beállításai, vagy a levelek fogadására szolgáló paraméterek gyűjteménye, az smtp_<....> pedig a postfix által küldött levelekre vontatkozik.
/etc/postfix/main.cf
<pre>
...##################################### # SMTP titkosítás levelek fogadása##################################### smtpd_tls_security_level = may smtpd_tls_key_file = /etc/postfix/ssl/ssl.key/mail.berki2.org-server.key smtpd_tls_cert_file = /etc/postfix/ssl/ssl.crt/mail.berki2.org-server.crt smtpd_tls_loglevel = 1 smtpd_tls_session_cache_timeout = 3600s smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_cache tls_random_source = dev:/dev/urandom tls_random_exchange_name = /var/lib/postfix/prng_exch
smtpd_tls_auth_only = yes
###################################### SMTP levelek kiküldése#####################################smtp_tls_security_level = maysmtp_tls_key_file = /etc/postfix/ssl/ssl.key/mail.berki2.org-server.keysmtp_tls_cert_file = /etc/postfix/ssl/ssl.crt/mail.berki2.org-server.crtsmtp_tls_loglevel = 1...
</pre>
* smtpd_tls_security_level smtp_tls_security_level = may #--> Ha a címzett MTA-ja nem ismeri a TLS-t akkor küldheti TLS nélkül is. Bizonyos MTA-k nem tudnak titkosítani, ezért náluk biztosítani kell a sima küldést is.
* smtpd_tls_auth_only = yes #A SASL autentikáció csak TLS felet mehet. Vagyis, ha egy felhasználó átad egy levelet továbbküldésre, azt nem teheti meg titkosítatlan csatornán.
setting up TLS connection from 254C26B6.nat.pool.telekom.hu[37.76.38.182]
Anonymous TLS connection established from 254C26B6.nat.pool.telekom.hu[37.76.38.182]: TLSv1 with cipher DHE-RSA-CAMELLIA256-SHA (256/256 bits)
==Tesztelés==
Küldjünk egy levelet a gmail-es címünkre. A log-ban látunk kell, hogy a TLS kapcsolat felépült:
<pre>
...
postfix/smtp[8359]: setting up TLS connection to gmail-smtp-in.l.google.com[74.125.71.26]:25
...
</pre>