Good to Know Database

Raspbian Wheezy: SMTP-Verbindungen zum Postfix-Daemon mit TLS absichern


Wenn Sie einen Mail Transfer Agent (MTA) in einem nicht vertrauenswürdigen Netzwerk betreiben, sollten Sie die SMTP-Verbindungen mit TLS (Transport Layer Security) verschlüsseln. Dadurch verhindern Sie, dass unberechtigte Personen die Datenübertragung zwischen einem Mail-Client und dem MTA belauschen können.

Für die folgenden Schritte wird vorausgesetzt, dass Sie bereits Postfix als SMTP-Server installiert haben. Sollte dies nicht der Fall sein, lesen Sie bitte die Anleitung Raspbian Wheezy: Mailserver mit Postfix und Cyrus einrichten.

Für die Verschlüsselung der SMTP-Verbindungen benötigen Sie ein Zertifikat und den dazugehörigen Schlüssel. Diese zwei Dateien können Sie wie folgt mit OpenSSL erstellen und sollten in den Verzeichnissen /etc/ssl/certs beziehungsweise /etc/ssl/private abgelegt werden. Durch die Option -days können Sie festlegen, wie lange das Zertifikat gültig sein soll.

pi@raspberrypi ~ $ sudo openssl req -new -x509 -nodes -out /etc/ssl/certs/postfix.pem -keyout /etc/ssl/private/postfix.key -days 3650
Generating a 2048 bit RSA private key
...........+++
...................+++
writing new private key to '/etc/ssl/private/postfix.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bayern
Locality Name (eg, city) []:Woerth an der Donau
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Privat
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:raspberrypi.home.lan
Email Address []:pi@home.lan

Hinweis: Als Common Name müssen Sie unbedingt die Adresse des Servers angeben, welche Sie für den Zugriff auf den MTA verwenden. Andernfalls erhalten Sie bei jedem SMTP-Verbindungsaufbau zum MTA eine Fehlermeldung weil der Hostname nicht mit dem Common Name des Zertifikates übereinstimmt.

Jetzt müssen Sie die Postfix-Konfiguration noch entsprechend anpassen. Wenn Sie den Parameter smtpd_tls_security_level auf may setzen, wird die TLS-Verschlüsselung aktiviert und es können auch weiterhin unverschlüsselte SMTP-Verbindungen aufgebaut werden. Sollen nur noch verschlüsselte Verbindungen erlaubt werden, müssen Sie den Parameter smtpd_tls_security_level auf encrypt setzen.

pi@raspberrypi ~ $ sudo postconf -e 'smtpd_tls_security_level = may'

Die nachfolgenden Befehle erzeugen in der Postfix-Konfiguration die Verweise auf das Zertifikat und den dazugehörigen Schlüssel.

pi@raspberrypi ~ $ sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/postfix.pem'
pi@raspberrypi ~ $ sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/postfix.key'

Nachdem Sie alle Änderungen vorgenommen haben, laden Sie die Postfix-Konfiguration neu.

pi@raspberrypi ~ $ sudo /etc/init.d/postfix reload
[ ok ] Reloading Postfix configuration...done.

Weiterführende Tutorials

Raspbian Wheezy: Funktion des Postfix SMTPS-Servers testen


Dieser Eintrag wurde am 11.08.2013 erstellt und zuletzt am 25.09.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_36_2288.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer