Добавить в корзинуПозвонить
Найти в Дзене
Лаборатория сисадмина
7569 подписчиков

Postfix — отправка с использованием TLS

415
1 мин
Рассмотрим случай, когда ваш почтовый сервер только отправляет почту. По умолчанию в postfix TLS при отправке писем отключён. Чтобы включить TLS, нужно в конфиг /etc/postfix/main.cf внести изменения: smtp_use_tls = yes В большинстве случаев этого достаточно. Дальше — необязательные или тонкие настройки: tls_high_cipherlist = HIGH:@STRENGTH
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_cache
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, MD5, CAMELLIA Указанные выше настройки postfix имеет по умолчанию, именно поэтому их можно не указывать, если вы не собираетесь их явно менять. Немножко безопасности Если ваш почтовик не подразумевает приём писем, то имеет смысл отключить эту возможность: inet_interfaces = loopback-only inet_interfaces может принимать следующие значения: Если ваш почтовик должен принимать почту с опре

Рассмотрим случай, когда ваш почтовый сервер только отправляет почту. По умолчанию в postfix TLS при отправке писем отключён. Чтобы включить TLS, нужно в конфиг /etc/postfix/main.cf внести изменения:

smtp_use_tls = yes

В большинстве случаев этого достаточно. Дальше — необязательные или тонкие настройки:

tls_high_cipherlist = HIGH:@STRENGTH
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_cache
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, MD5, CAMELLIA

Указанные выше настройки postfix имеет по умолчанию, именно поэтому их можно не указывать, если вы не собираетесь их явно менять.

  • tls_high_cipherlist — HIGH:@STRENGTH выбирает шифры с высоким уровнем защиты и упорядочивает их в порядке уменьшения стойкости шифра.
  • smtp_tls_loglevel — уровень детализации ведения лога соединений сеансов TLS (0-4, нет-отладка).
  • smtp_tls_security_level — уровень безопасности при установке защищенного соединения. Значение may предполагает использование TLS при поддержке второй стороной.
  • smtp_tls_session_cache_database — имя файла базы для кэширования информации о TLS сессиях (для FreeBSD может иметь значение, например, btree:/var/db/postfix/smtp_tls_cache).
  • smtp_tls_CAfile — файл со списком сертификатов доверенных центров сертификации (для FreeBSD обычно /usr/local/share/certs/ca-root-nss.crt).
  • smtp_tls_protocols — список поддерживаемых протоколов.
  • smtp_tls_ciphers — минимальный уровень шифрования.
  • smtp_tls_exclude_ciphers — список исключаемых шифров.

Немножко безопасности

Если ваш почтовик не подразумевает приём писем, то имеет смысл отключить эту возможность:

inet_interfaces = loopback-only

inet_interfaces может принимать следующие значения:

  • all — прослушивать на всех интерфейсах (по умолчанию)
  • loopback-only — прослушивать адреса только на loopback интерфейсах (обычно это 127.0.0.1 и [::1])
  • Список IP адресов для прослушивания через разделитель (пробел или запятая), где IPv6 адреса указываются в квадратных скобках

Если ваш почтовик должен принимать почту с определённых адресов, укажем их:

mynetworks = 127.0.0.0, [::1]

Можно указывать диапазоны сетей, например, 10.10.15.0/24.

Источник:
https://internet-lab.ru/postfix_smtp_tls

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

Гаджеты и электроника
5,73 млн интересуются