Serveur mail sous CentOS (3) SSL

SSL Postfix DovecotDans notre série d’articles sur la mise en place d’un serveur mail sous CentOS avec Postfix et Dovecot, ce troisième volet sera consacré à la sécurisation du serveur, et plus précisément au chiffrement des connexions. En effet, lors de l’authentification des clients mail sur le serveur, les identifiants de connexion et les mots de passe des utilisateurs se baladent en clair sur le réseau. Pour éviter cela, nous allons ajouter le chiffrement SSL à Postfix et Dovecot.

Prérequis

Notre serveur héberge les mails pour plusieurs domaines (en l’occurrence slackbox.fr et unixbox.fr), mais Postfix et Dovecot ne peuvent gérer les certificats que pour un seul domaine. Nous avons donc besoin d’un certificat SAN multi-domaines valable pour tous les domaines que nous gérons.

Les connexions sécurisées se font via le port 465 en TCP pour le SMTPS et le port 993 en TCP pour l’IMAPS. Il faut donc songer à ouvrir ces deux ports dans le pare-feu.

Configurer le chiffrement SSL pour Postfix

Pour activer le chiffrement SSL dans Postfix, il faut éditer /etc/postfix/main.cf et ajouter quatre lignes à la stance qui gère l’authentification SMTP, en précisant le chemin vers le certificat SSL et la clé privée.

# Authentification SMTP
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks,
                               permit_auth_destination,
                               permit_sasl_authenticated,
                               reject
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/letsencrypt/live/slackbox.fr/cert.pem
smtpd_tls_key_file = /etc/letsencrypt/live/slackbox.fr/privkey.pem
smtpd_tls_session_cache_database = btree:/etc/postfix/smtpd_scache

Ensuite, il faut éditer /etc/postfix/master.cf et décommenter les lignes 26 à 28 du fichier, comme ceci.

smtps  inet  n   -   n   -   -   smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes

Configurer le chiffrement SSL pour Dovecot

Les options relatives au chiffrement SSL pour Dovecot sont rassemblées dans le fichier /etc/dovecot/conf.d/10-ssl.conf. Éditer les premières lignes de ce fichier pour activer le chiffrement SSL et indiquer le chemin vers notre certificat.

ssl = yes
...
ssl_cert = </etc/letsencrypt/live/slackbox.fr/cert.pem
ssl_key = </etc/letsencrypt/live/slackbox.fr/privkey.pem

Redémarrer Postfix et Dovecot pour prendre en compte la nouvelle configuration.

# systemctl restart postfix dovecot

Configuration de Thunderbird

Voici à quoi ressemble la configuration du client mail Thunderbird avec le chiffrement SSL. Le serveur entrant se connecte sur le port 993, le serveur sortant sur le port 465. SSL/TLS est utilisé pour les connexions entrantes et sortantes.

Configuration Thunderbird SSL

Notre connexion est désormais sécurisée, et Thunderbird ne nous affiche plus d’avertissement pour notre configuration.

Ce contenu a été publié dans CentOS, Documentation Microlinux, avec comme mot(s)-clé(s) , , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *