Good to Know Database

CentOS 5: SMTP-Verbindungen zum Postfix-Daemon mit TLS absichern


Wenn Sie einen Mail Transfer Agent (MTA) in einem nicht vertrauenswürdigen Netzwerk betreiben, sollten Sie die SMTP-Verbindungen mit TLS (Transport Layer Security) verschlüsseln. Dadurch verhindern Sie, dass unberechtigte Personen die Datenübertragung zwischen einem Mail-Client und dem MTA belauschen können.

Zuerst erstellen Sie die beiden Verzeichnisse /etc/ssl/certs und /etc/ssl/private.

[root@centos5 ~]# mkdir -p /etc/ssl/certs /etc/ssl/private

Anschließend erstellen sie mit dem folgenden Befehl ein Zertifikat und den dazugehörigen Schlüssel, welche in den soeben erstellten Verzeichnissen abgelegt werden. Durch die Option -days können Sie festlegen, wie lange das Zertifikat gültig sein soll.

[root@centos5 ~]# openssl req -new -x509 -nodes -out /etc/ssl/certs/postfix.pem -keyout /etc/ssl/private/postfix.key -days 3650
Generating a 1024 bit RSA private key
........................................++++++
...................................................++++++
writing new private key to '/etc/ssl/private/postfix.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:DE
State or Province Name (full name) [Berkshire]:Bayern
Locality Name (eg, city) [Newbury]:Woerth an der Donau
Organization Name (eg, company) [My Company Ltd]:Privat
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:mail.home.lan
Email Address []:root@home.lan

Hinweis: Als Common Name müssen Sie unbedingt die Adresse des Servers angeben, welche Sie für den Zugriff auf den MTA verwenden. Andernfalls erhalten Sie bei jedem SMTP-Verbindungsaufbau zum MTA eine Fehlermeldung weil der Hostname nicht mit dem Common Name des Zertifikates übereinstimmt.

Jetzt müssen Sie die Postfix-Konfiguration noch entsprechend anpassen. Wenn Sie den Parameter smtpd_tls_security_level auf may setzen, wird die TLS-Verschlüsselung aktiviert und es können auch weiterhin unverschlüsselte SMTP-Verbindungen aufgebaut werden. Sollen nur noch verschlüsselte Verbindungen erlaubt werden, müssen Sie den Parameter smtpd_tls_security_level auf encrypt setzen.

[root@centos5 ~]# postconf -e 'smtpd_tls_security_level = may'

Die nachfolgenden Befehle erzeugen in der Postfix-Konfiguration die Verweise auf das Zertifikat und den dazugehörigen Schlüssel.

[root@centos5 ~]# postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/postfix.pem'
[root@centos5 ~]# postconf -e 'smtpd_tls_key_file = /etc/ssl/private/postfix.key'

Nachdem Sie alle Änderungen vorgenommen haben, laden Sie die Postfix-Konfiguration neu.

[root@centos5 ~]# service postfix reload

Weiterführende Tutorials

CentOS 5: Funktion des Postfix SMTPS-Servers testen


Dieser Eintrag wurde am 10.08.2009 erstellt und zuletzt am 24.01.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_33_726.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer