Índice
Começamos dizendo os passos para ter uma segurança decente com criptografia TLS em e-mails, remessas web … Assumimos que o servidor possui sistema operacional Linux Centos, mas é semelhante para as demais distribuições.A primeira coisa que devemos fazer é gerar um certificado e uma assinatura digital. Do terminal, acessamos o diretório / etc / pki / tls /
cd / etc / pki / tls /
Em seguida, geramos a assinatura digital criada com o algoritmo DSA de 1024 bytes, para isso usamos o openssl que já está instalado, geramos a assinatura com o seguinte comando.
openssl dsaparam 1024 -out dsa1024.pem
Em seguida, o arquivo de parâmetro DSA criado é usado para criar uma chave com algoritmo DSA e estrutura x509 e também o certificado. Dou um exemplo agora que estabelece uma validade de 1095 dias (três anos) para os quais criamos um certificado criado.
openssl req -x509 -nodes -newkey dsa: dsa1024.pem -days 1095 -out certs / smtp.crt -keyout private / smtp.key
Assim que a etapa anterior for concluída, podemos excluir (por segurança) o arquivo de parâmetro dsa1024, pem (use o comando rm e você o exclui). Agora 2 arquivos foram criados: a chave e o certificado, então devemos dar a eles permissões somente leitura, não se esqueça disso.
chmod 400 certs / smtp.crt chmod 400 private / smtp.key
Agora devemos ir para o diretório / etc / pki / dovecot / com o seguinte comando
cd / etc / pki / dovecot /
Podemos remover todos os certificados genéricos para limpar arquivos não utilizados
rm -f private / dovecot.pem certs / dovecot.pem
Em seguida, devemos criar a assinatura digital e o certificado para Dovecot, que é o servidor IMAP e POP3. Dovecot requer o uso de uma chave de algoritmo RSA de 1024 bytes com estrutura X.509. No exemplo abaixo, uma validade de 1095 dias (três anos) é definida para o certificado criado. Nós criamos a chave
openssl req -x509 -nodes -newkey rsa: 1024 -days 1095 -out certs / dovecot.pem -keyout private / dovecot.pem
Nós criamos o certificado
openssl x509 -subject -fingerprint -noout -in certs / dovecot.pem
Nós concedemos apenas permissões de leitura para certificados
chmod 400 private / dovecot.pem certs / dovecot.pem
Por fim, configuramos o Postfix. Voltamos ao diretório raiz e editamos o arquivo /etc/postfix/master.cf
Dentro dos arquivos devemos remover o # antes das linhas para que não sejam comentados e depois possam ser executados.
smtp inet n - n - - smtpd submissão inet n - n - - smtpd -o smtpd_tls_security_level = criptografar -o smtpd_sasl_auth_enable = sim -o smtpd_client_restrictions = permit_sasl_authenticated, rejeitar -o smtpd_auth_auth_enable_tops-o-smtpd-o-smtpdevel_authenticated, rejeitar-o smtpdevel-smtpdevel-smtpcurity_tops-o-o-smtpdevel-smtpdevel-smtpcrdlevel-smtpcurity_tlops-o-o-smtpdevel-o-smtpcurity_tlops-o-o-smtpdevel - smtpcurity_tls_tops-o-o-smtpdevel-smtpd_tls_tml_tops-security-o-smtpdevel_tls_tls_tls_tegurity -o smtrapname, rejeitar -o smtrapname-in-macrops_data, rejeitar -o smtrapname-OR smtrapname, rejeitar -o smtrapname-OR smtrapname, rejeitar-smtrapIN-o-macropsname, rejeitar-smtrapname-OR-smtrapname, rejeitar-smtrapname_data, rejeitar -o smtrapname sim -o smtpd_sasl_auth_enable = sim -o smtpd_client_restrictions = permit_sasl_authenticated, rejeitar -o milter_macro_daemon_name = ORIGINANDO
Então nós configuramos /etc/postfix/main.cf Onde mudamos as linhas com domínio genérico para:
# Defina o nome do host do sistema (nome do host). myhostname = mail.domain.com # Defina o domínio principal a ser gerenciado. mydomain = domain.com
No arquivo /etc/dovecot/conf.d/10-ssl.conf, também devemos descomentar as seguintes linhas:
ssl = sim ssl_cert =
Iniciamos os serviços para que os certificados sejam reconhecidos e com o comando serviço XXX iniciar adicionamos esses serviços na inicialização do sistema.
chkconfig dovecot em chkconfig postfix no serviço saslauthd iniciar serviço dovecot iniciar serviço postfix reiniciar
Desta forma, como você pode ver, teremos o TLS bem configurado e ativo para criptografar nossos e-mails tanto no recebimento quanto no envio. Espero que você ache útil como eu precisava, há não muito tempo.Gostou e ajudou este tutorial?Você pode recompensar o autor pressionando este botão para dar a ele um ponto positivo
