Configurazione di Postfix TLS


5

Sono nel mezzo della configurazione di un server Postfix su Arch Linux. Sembra funzionare bene finora - posso parlarci con successo tramite telnet localhost 25. Tuttavia, quando provo a connettermi usando openssl s_client, si lamenta:

$ openssl s_client -connect localhost:25
CONNECTED(00000003)
140243743024808:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:766:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 228 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

ed esce con lo stato 1.

Parte rilevante di /etc/postfix/main.cf:

smtpd_tls_key_file = /path/to/server.key.pem
smtpd_tls_cert_file = /path/to/server.crt.pem
smtpd_tls_CAfile = /path/to/ca.pem

smtpd_tls_security_level = may

Ho anche la chiave e il certificato in formati non-pem, e stanno lavorando bene con un altro servizio che li utilizza (un server xmpp).

Ho trovato la documentazione che dice che per raggiungere questo obiettivo, ho bisogno di decommentare una linea in /etc/postfix/main.cfe utilizzare la porta 587 invece di 25. Questo mi dà lo stesso risultato di openssl s_clientquanto sopra.

Come convincere Postfix a utilizzare TLS?

Risposte:


3

Non è necessario utilizzare la porta 587 per tls, poiché è indipendente dal protocollo dell'applicazione.

Ottengo esattamente lo stesso risultato da te openssl s_client -connect localhost:25, ma tls funziona correttamente sul mio server.

Al momento non ho accesso al mio wiki personale, quindi non ho potuto incollare il comando corretto per verificare la configurazione di tls sul sistema. Ma potresti usare CheckTLS .


2

Ti suggerisco di leggere su STARTTLS . Il risultato è questo: avvia una connessione in chiaro di testo non crittografato e passa a TLS in un secondo momento. Il opensslcomando non lo utilizza e desidera eseguire direttamente una stretta di mano SSL / TLS.

La configurazione "generale" di fatto per gli MTA è quella di configurarla in modo che STARTTLS sia disponibile sulla porta 587, SSL / TLS semplice su 465 e non sicuro con l'opzione STARTTLS sulla porta 25. Per quanto ne so, questo non è uno standard i fornitori di servizi sembrano farlo.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.