• Install Postfix SMTP SSL Certificate

  • ITtoday.vn - Trong hướng dẫn này, bạn sẽ tìm hiểu về Cài đặt SSL Certificate (Giấy chứng nhận an toàn máy chủ) để bảo đảm thông tin liên lạc giữa Postfix máy chủ SMTP và mail client như Outlook hoặc Thunderbird.

  • Sunday, 26 July 2015, 05:07:32 PM
  • Install Postfix SMTP SSL Certificate
  • Bạn cần phải tạo ra một giấy chứng nhận CSR cho CA, để sử dụng với Postfix của bạn mail server . Hướng dẫn này instuctions được kiểm tra trong:

    Redhat doanh nghiệp Linux 5

    CentOS 5 máy chủ

    FreeBSD 7 máy chủ

    Thủ tục cho việc tạo ra một CSR trên Postfix MTA là giống như máy chủ web. Bạn cần phải sử dụng OpenSSL là một bộ công cụ mã hóa thực hiện Secure Sockets Layer (SSL v2/v3) và Transport Layer an ninh (TLS v1) giao thức mạng và các tiêu chuẩn liên quan đến mật mã trong Linux / Unix. Cấu hình Postfix SSL SMTP bạn cần 3 file

    • Khóa riêng được tạo ra sử dụng bước # 1
    • Tập tin chứng chỉ của bạn. CRT (nó sẽ được gửi bởi CA)
    • CA giấy chứng nhận

    Chúng ta hãy xem làm thế nào để tạo ra giấy chứng nhận cho Postfix máy chủ SMTP gọi  smtp.theos.in .

    Bước 1: Tạo một CSR và khóa riêng cho Postfix SMTP


    Gõ lệnh để tạo ra một CSR SSL cho một máy chủ mail được gọi là smtp.theos.in:

    # Mkdir / etc / postfix / ssl
    # cd / etc / postfix / ssl
    # openssl req-new-nút-keyout smtp.theos.in.key ra smtp.theos.in.csr

    Quan trọng nhất là  tên thường gọi , trong ví dụ của chúng tôi nó được thiết lập để smtp.theos.in. Cho tên gọi chung, bạn nên nhập Địa chỉ email đầy đủ máy chủ của trang web của bạn.

    Mẫu đầu ra:

    Tạo ra một RSA 1024 bit khóa riêng
    ........... + + + + + +
    ........................ + + + + + +
    viết khóa riêng mới để 'smtp.theos.in.key'
    -----
    Bạn đang về để được yêu cầu nhập thông tin sẽ được kết hợp
    vào yêu cầu chứng chỉ của bạn.
    Những gì bạn đang bước vào là những gì được gọi là một tên sắc hoặc một DN.
    Có một vài lĩnh vực nhưng bạn có thể để lại một số trống
    Đối với một số lĩnh vực sẽ có một giá trị mặc định,
    Nếu bạn nhập '.', Lĩnh vực này sẽ được để trống.
    -----
    Tên quốc gia (2 lá thư code) [AU]: TRÊN
    Nhà nước hoặc tỉnh Name (tên đầy đủ) [Một số quốc]: MHA
    Địa phương Tên (ví dụ, thành phố) []: Pune
    Tên tổ chức (ví dụ, công ty) [Internet Widgits Pty Ltd ]: NIXCRAFT TNHH
    tổ chức Đơn vị Tên (ví dụ, phần) []: ITDEPT
    Tên thông thường (ví dụ, tên BẠN) []: smtp.theos.in
    Địa chỉ Email []: ssladmin@staff.theos.in
    Xin vui lòng nhập các 'thêm' thuộc tính sau
    được gửi với yêu cầu chứng chỉ của bạn
    Một thách thức mật khẩu []: MYPASSWORD
    Một tên công ty tùy chọn []: NIXCRAFT TNHH


    Bước 2: Gửi CSR đến CA


    Bây giờ là một trách nhiệm xã hội được tạo ra. Tất cả bạn phải làm là sao chép và dán nội dung của file CSR vào các nhà cung cấp chứng chỉ SSL (hay còn gọi là CA) tài khoản. Không bao giờ bao giờ đưa ra khóa riêng của bạn hoặc giấy chứng nhận cho bất cứ ai. Sau khi xác minh, bạn sẽ nhận được một file zip có giấy chứng nhận.

    Bước 3: Cài đặt chứng chỉ SSL của bạn


    Giải nén tập tin tải lên và giấy chứng nhận cho / etc / postfix / thư mục ssl.

    Bước 4: Cấu hình Postfix SMTP cho chứng chỉ SSL


    Postfix mở tập tin cấu hình SMTP và thêm chỉ thị sau đây:

    smtpd_use_tls = có
    smtpd_tls_auth_only = có
    smtpd_tls_key_file = / etc / postfix / ssl / smtp.theos.in.key
    smtpd_tls_cert_file = / etc / postfix / ssl / smtp.theos.in.crt
    smtpd_tls_CAfile = / etc / postfix / ssl / caroot.crt
    smtpd_tls_loglevel = 1

    smtpd_tls_received_header = có
    smtpd_tls_session_cache_timeout = 3600s
    tls_random_source = dev :/ dev / urandom

    Lưu và đóng file. Khởi động lại hoặc tải lại postfix

    # Postfix tải lại.
    hoặc # / etc / init.d / postfix restart

    Lưu ý tôi có SASL cấu hình như sau trong main.cf:

    smtpd_sasl_auth_enable = có
    smtpd_sasl_local_domain =
    smtpd_sasl_security_options = noanonymous
    smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, permit_mynetworks check_relay_domains
    smtpd_delay_reject = có
    broken_sasl_auth_clients = có

    Kiểm tra Postfix TLS (SSL)


    Để kiểm tra các TLS, chỉ thâm smpt.theos.in trên cổng 25 (bạn phải xem STARTTLS và dòng AUTH):

    $ Telnet smpt.theos.in 25

    Sản lượng:

    Cố gắng 202.54.221.5 ...
    Kết nối với smtp.theos.in.
    Escape nhân vật là '^]'.
    220 smtp.theos.in ESMTP Postfix
    ehlo smtp.theos.in
    250-smtp.theos.in
    250-PIPELINING
    250-SIZE 10.240.000
    250-ETRN
    250 - STARTTLS
    250 - AUTH LOGIN ĐỒNG BẰNG
    250-AUTH = ĐỒNG BẰNG Đăng nhập
    250-ENHANCEDSTATUSCODES
    250-8BITMIME
    250 DSN


    Và gửi tập tin đăng nhập ...

    # Tail-f / var / log / maillog
    ra:

    12 tháng 7 14:25:10 smtp postfix / smtpd [28.817]: kết nối từ chưa biết [84.167.114.61]
    12 tháng 7 14:25:11 smtp postfix / smtpd [28.817]: thiết lập kết nối TLS từ chưa biết [84.167.114.61]
    12 tháng 7 14:25:11 smtp postfix / smtpd [28.817]: kết nối TLS thành lập từ chưa biết [84.167.114.61]: TLSv1 với mật mã DHE-RSA-AES256-SHA (256/256 bit)
    12 tháng 7 14:25:12 smtp postfix / smtpd [28.817]: B3A0A9D8443: khách hàng = không rõ [84.167.114.61], sasl_method = đồng bằng, sasl_username = user1@theos.in
    12 tháng 7 14:25:13 smtp postfix / dọn dẹp [28.807]: B3A0A9D8443: tin nhắn-id = <46968015,50400 @ theos.in>
    12 tháng 7 14:25:13 smtp postfix / qmgr [28806]: B3A0A9D8443: từ =, kích thước = 632, nrcpt = 1 (hàng đợi hoạt động)
    12 tháng 7 14:25:14 smtp postfix / smtpd [28.817]: ngắt kết nối từ chưa biết [122.167.114.61]
    12 tháng 7 14:25:14 smtp postfix / smtp [28.821]: B3A0A9D8443: để =, tiếp sức = aspmx.l.google.com [209.85.163.27]: 25, chậm trễ = 2,1, sự chậm trễ = 1.5/0/0.13/0.49 , DSN = 2.0.0, tình trạng = gửi (250 2.0.0 OK 1184268314 n29si21297786elf)
    12 tháng 7 14:25:14 smtp postfix / qmgr [28806]: B3A0A9D8443: loại bỏ
    Máy chủ thư Postfix tạo các chứng chỉ SSL tự gán
    Sử dụng tài liệu này, / hướng dẫn để nếu bạn cần, để tạo các chứng chỉ SSL tự ký trên Cent OS / Redhat Linux (RHEL 4/5) Chuyển đến / tmp thư mục

    cd / tmp
    mkdir cấu hình
    cd cấu hình
    mkdir certs crl newcerts tin
    echo "01"> nối tiếp
    cp / dev / null index.txt
    cat / usr / share / ssl / openssl.cnf | sed-e '.. s / \ \ / demoCA / \ /'> openssl.cnf

    Tạo ra một CA mới

    openssl req-new-x509-keyout tin / cakey.pem ra CAcert.pem-365-config openssl.cnf
    Cert yêu cầu dấu

    openssl req-nút-new-x509-keyout newreq.pem ra newreq.pem-365-config openssl.cnf
    openssl x509-x509toreq-trong-newreq.pem signkey newreq.pem ra tmp.pem
    Giấy chứng nhận đăng xuất

    openssl ca-cấu hình openssl.cnf-chính sách policy_anything-ra-newcert.pem infiles tmp.pem
    Bây giờ sao chép CERT

    cp CAcert.pem / usr / share / ssl / certs
    grep-B 100 "END RSA PRIVATE KEY" newreq.pem> / usr / share / ssl / certs / key.pem
    chmod 400 / usr / share / ssl / certs / key.pem
    cp newcert.pem / usr / share / ssl / certs / cert.pem
    Mở / etc / postfix / main.cf và thêm hoặc sửa đổi cấu hình như sau:

    # # # # SASL bit # # # #
    smtpd_sasl_auth_enable = có
    smtpd_sasl_local_domain =
    smtpd_sasl_security_options = noanonymous

    # # Sau đây cho phép bất cứ ai trong mynetworks, hoặc bất cứ ai có thể xác nhận, gửi thư qua máy chủ này
    smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, permit_mynetworks check_relay_domains
    smtpd_delay_reject = có

    # # Này là cần thiết đối với một số khách hàng email
    broken_sasl_auth_clients = có

    # # # # TLS bit # # # #
    smtpd_tls_auth_only = không
    smtp_use_tls = có
    smtpd_use_tls = có
    smtp_tls_note_starttls_offer = có

    # # Vị trí quan trọng, CERT và CA-CERT.
    # # Những tập tin này cần phải được tạo ra sử dụng openssl

    smtpd_tls_key_file = / usr / share / ssl / certs / key.pem
    smtpd_tls_cert_file = / usr / share / ssl / certs / cert.pem
    smtpd_tls_CAfile = / usr / share / ssl / certs / CAcert.pem

    smtpd_tls_loglevel = 1
    smtpd_tls_received_header = có
    smtpd_tls_session_cache_timeout = 3600s
    tls_random_exchange_name = / var / run / prng_exch
    tls_random_source = dev :/ dev / urandom
    tls_smtp_use_tls = có
    ipv6_version = 1.25
    Hãy chắc chắn rằng bạn có cyrus-sasl cài đặt

    yum install cyrus-sasl
    (Hoặc)
    up2date cyrus-sasl dovecot
    Mở / etc / dovecot.conf và cho phép an toàn IMPA và pop3

    Tạo người sử dụng cho mỗi người dùng mail:

    saslpasswd2-c đá
    Cho phép postfix để đọc tập tin mật khẩu cyrus-sasl

    chown: postfix / etc/sasldb2
    Hãy chắc chắn rằng / usr/lib/sasl2/smtpd.conf trông giống như như sau:

    pwcheck_method: auxprop
    Khởi động lại Postfix và Cyrus:

    / Etc / init.d / khởi động lại saslauthd
    / Etc / init.d / postfix restart
    Khởi động lại / etc / init.d / dovecot
    Chạy ntsysv và cho phép tất cả các dịch vụ khi khởi động

    ntsysv
    Kiểm tra tất cả mọi thứ đang làm việc

    telnet server-ip 25
    telnet server-ip 143
    telnet server-ip 110
    netstat-Tulp
    Hãy chắc chắn rằng tất cả các cổng email được mở từ iptables cũng mở / etc / sysconfig / iptables:

    / Etc / init.d / iptables lưu
    vi / etc / sysconfig / iptables
    Thêm các quy tắc đó cho phép incomming cổng 25.143.110

    -A INPUT-i eth1-p tcp-m tcp - dport 25-j ACCEPT
    -A INPUT-i eth1-p tcp-m tcp - dport 110-j ACCEPT
    -A INPUT-i eth1-p tcp-m tcp - dport 143-j ACCEPT
    Hãy chắc chắn rằng bạn thực hiện thay đổi theo thiết lập của bạn.

    / Etc / init.d / iptables khởi động lại

     

    Hãy liên hệ với chúng tôi:

    ITtoday

    VP Miền Bắc: 124 Minh Khai, Hai Bà Trưng, Hà Nội - ĐT: 0986.973.209 / 0962.604.887 / 01234.08.1987
    VP Miền Nam: 53/21 Đường 18, Khu phố 5, Phường Ninh Chung,  Quận Thủ Đức, TP Hồ Chí Minh. - ĐT: 0976.413.635
    Email: itotdayvn@gmail.com
    Website: www.ittoday.vn

    Chúc các bạn thành công!