Good to Know Database

Raspbian Wheezy: Verbindungen zwischen Postfix und SMTP-Relay-Server mit TLS verschlüsseln


Wie Sie von einem internen Mailserver über einen SMTP-Relay-Server oder auch Smarthost genannt, E-Mails an beliebige externe E-Mail-Adressen versenden, habe ich Ihnen im Tutorial Raspbian Wheezy: Postfix soll E-Mails über SMTP-Relay-Server versenden beschrieben. Die Authentifizierung und die Datenübertragung zwischen Ihrem Mailserver und dem SMTP-Relay-Server erfolgt nach dieser Anleitung jedoch unverschlüsselt und kann eventuell von unbefugten Personen mitgelesen werden. Um dieses Sicherheitsrisiko zu beseitigen, wollen wir die Verbindung zwischen den beiden Servern mittels TLS (Transport Layer Security) verschlüsseln. Voraussetzung hierfür ist natürlich, dass der jeweils verwendete SMTP-Relay-Server TLS unterstützt.

Wenn Sie sich nicht sicher sind ob der jeweilige SMTP-Relay-Server TLS unterstützt oder wenn Sie mehrere SMTP-Relay-Server verwenden und einer davon TLS nicht unterstützt, dann sollten Sie den Parameter smtp_tls_security_level auf may setzen. Dadurch wird TLS automatisch aktiviert wenn der Smarthost TLS anbietet. Sollte der Smarthost TLS nicht unterstützen, wird zwangsläufig eine unverschlüsselte Verbindung aufgebaut.

pi@raspberrypi ~ $ sudo postconf -e 'smtp_tls_security_level = may'

Sind Sie sich jedoch sicher, dass alle verwendeten Smarthosts TLS unterstützen und Sie auf keinen Fall eine unverschlüsselte Verbindung zulassen wollen, dann setzen Sie den Parameter auf den Wert encrypt.

pi@raspberrypi ~ $ sudo postconf -e 'smtp_tls_security_level = encrypt'

Damit in der Logdatei /var/log/mail.log Informationen zum TLS-Verbindungsaufbau angezeigt werden, sollten Sie noch den Parameter smtp_tls_loglevel auf den Wert 1 setzen.

pi@raspberrypi ~ $ sudo postconf -e 'smtp_tls_loglevel = 1'

Im Grunde sind Sie jetzt bereits mit der Konfiguration fertig und Ihr Mailserver verwendet wenn möglich eine verschlüsselte Verbindung zum jeweiligen SMTP-Relay-Server sobald Sie eine E-Mail an eine externe E-Mail-Adresse versenden. Allerdings finden Sie derzeit in der Logdatei /var/log/mail.log noch eine Meldung, dass eine nicht vertrauenswürdige TLS-Verbindung hergestellt wurde,

pi@raspberrypi ~ $ tail -f /var/log/mail.log
[...]
Sep  1 19:36:16 raspberrypi postfix/smtpd[3504]: connect from raspberrypi.home.lan[192.168.10.52]
Sep  1 19:36:16 raspberrypi postfix/smtpd[3504]: CE64921DB9: client=raspberrypi.home.lan[192.168.10.52]
Sep  1 19:36:16 raspberrypi postfix/cleanup[3508]: CE64921DB9: message-id=<1a2e10a2547aeeefa47d2c381b405fca@raspberrypi.home.lan>
Sep  1 19:36:16 raspberrypi postfix/qmgr[3485]: CE64921DB9: from=<email-adresse@web.de>, size=596, nrcpt=1 (queue active)
Sep  1 19:36:17 raspberrypi postfix/smtpd[3504]: disconnect from raspberrypi.home.lan[192.168.10.52]
Sep  1 19:36:17 raspberrypi postfix/smtp[3509]: Untrusted TLS connection established to smtp.web.de[213.165.67.124]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Sep  1 19:36:17 raspberrypi postfix/smtp[3509]: CE64921DB9: to=<empfaenger@gmx.net>, relay=smtp.web.de[213.165.67.124]:25, delay=1.1, delays=0.16/0.23/0.64/0.1, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0LkyIj-1VqLjg3OkP-00aj7W)
Sep  1 19:36:17 raspberrypi postfix/qmgr[3485]: CE64921DB9: removed

Das liegt daran, dass Postfix das Zertifikat vom SMTP-Server abfragen kann, jedoch nicht sicherstellen kann, ob es vertrauenswürdig ist. Dazu benötigt Postfix das Root-Zertifikat der jeweiligen Zertifizierungsstelle (Certification Authority oder kurz CA). Daher müssen Sie Postfix mitteilen, wo die CA-Schlüssel zu finden sind.

pi@raspberrypi ~ $ sudo postconf -e 'smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt'

Jetzt müssen Sie nur noch die Postfix-Konfiguration neu laden.

pi@raspberrypi ~ $ sudo /etc/init.d/postfix reload

Von jetzt an sollte beim Mail-Versand an einen Smarthost ein Eintrag in der Logdatei /var/log/mail.log protokolliert werden, welcher Ihnen mitteilt, dass eine vertrauenswürdige TLS-Verbindung hergestellt wurde.

pi@raspberrypi ~ $ tail -f /var/log/mail.log
[...]
Sep  1 19:38:40 raspberrypi postfix/smtpd[3550]: connect from raspberrypi.home.lan[192.168.10.52]
Sep  1 19:38:41 raspberrypi postfix/smtpd[3550]: 015DA20896: client=raspberrypi.home.lan[192.168.10.52]
Sep  1 19:38:41 raspberrypi postfix/cleanup[3554]: 015DA20896: message-id=<583f2051127cfcb6ea2f45a4c1752dd8@raspberrypi.home.lan>
Sep  1 19:38:41 raspberrypi postfix/qmgr[3537]: 015DA20896: from=<email-adresse@web.de>, size=596, nrcpt=1 (queue active)
Sep  1 19:38:42 raspberrypi postfix/smtpd[3550]: disconnect from raspberrypi.home.lan[192.168.10.52]
Sep  1 19:38:42 raspberrypi postfix/smtp[3555]: Trusted TLS connection established to smtp.web.de[213.165.67.124]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Sep  1 19:38:42 raspberrypi postfix/smtp[3555]: 015DA20896: to=<empfaenger@gmx.net>, relay=smtp.web.de[213.165.67.124]:25, delay=1.5, delays=0.24/0.58/0.56/0.09, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0LshSX-1W08Hj1HVh-012GzN)
Sep  1 19:38:42 raspberrypi postfix/qmgr[3537]: 015DA20896: removed
[...]
Sep  1 19:40:05 raspberrypi postfix/smtpd[3550]: connect from raspberrypi.home.lan[192.168.10.52]
Sep  1 19:40:05 raspberrypi postfix/smtpd[3550]: BCE1E20896: client=raspberrypi.home.lan[192.168.10.52]
Sep  1 19:40:05 raspberrypi postfix/cleanup[3554]: BCE1E20896: message-id=<46719f4e38bca5adcbdec698aba224ca@raspberrypi.home.lan>
Sep  1 19:40:06 raspberrypi postfix/qmgr[3537]: BCE1E20896: from=<email-adresse@gmx.net>, size=604, nrcpt=1 (queue active)
Sep  1 19:40:06 raspberrypi postfix/smtpd[3550]: disconnect from raspberrypi.home.lan[192.168.10.52]
Sep  1 19:40:06 raspberrypi postfix/smtp[3555]: Trusted TLS connection established to mail.gmx.net[212.227.17.190]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Sep  1 19:40:07 raspberrypi postfix/smtp[3555]: BCE1E20896: to=<empfaenger@web.de>, relay=mail.gmx.net[212.227.17.190]:25, delay=1.4, delays=0.73/0.01/0.53/0.09, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0LZiLk-1Vjyzz06RA-00lY0T)
Sep  1 19:40:07 raspberrypi postfix/qmgr[3537]: BCE1E20896: removed


Dieser Eintrag wurde am 01.09.2013 erstellt und zuletzt am 25.09.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_36_2314.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer