6 votos

Habilitar TLS/SSL en Postfix

Estoy trabajando en un servidor Postfix que sólo envía correos electrónicos (boletines de noticias).

He leído que debo habilitar TLS y/o SSL en Postfix con el fin de aumentar la capacidad de entrega de correo de rendimiento. Es esto cierto? Hay una diferencia entre SSL y TLS en virtud de Postfix?

Ya tengo estas tres líneas por defecto en mi instalación de Postfix:

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes

Así que me estoy preguntando si SSL/TLS ya está habilitado por defecto? ¿Cuáles son estos auto-generado pem y los archivos de clave? Cómo se puede reemplazar por mi certificado HTTPS? Ya tengo un certificado HTTPS para mi dominio. Puedo usar la misma certificados por tanto Postfix y Nginx?

6voto

Esa Jokinen Puntos 1735

Habilitar el cifrado no ayuda con el rendimiento de la entrega, pero es recomendable, debido a que aumenta la privacidad del correo electrónico. El cifrado de correo electrónico en el transporte se ha convertido en un estándar, como se puede observar de Google del Informe de Transparencia en Correo electrónico cifrado en tránsito.

Mientras que SSL y anteriores versiones de TLS se han quedado obsoletos, el correo electrónico es hacia atrás compatible con la infraestructura que considera de cifrado, mejor que ninguno, y está dispuesto a usar las conexiones sin cifrar. Por lo tanto, el hombre-en-el-medio de los ataques sería fácil, y técnicas como el SMTP de Seguridad a través de Oportunistas DANE TLS (RFC 7672) se inventó para aumentar la seguridad mientras se mantiene la compatibilidad hacia atrás.

Por defecto (a partir de Mayo de 2020), SSLv2 y SSLv3 han sido desactivada en Postfix para ambos

Mi respuesta se resume actual de las mejores prácticas y cómo se podría implementar en Postfix.


TLS de entrada

Actualmente se han auto-firmado por defecto de "aceite de serpiente" los certificados que viene con Postfix. Usted ha dicho, usted ya tiene un certificado para su servidor web y se puede utilizar la ruta de acceso para que la cadena de certificados & key, pero para que esta respuesta sea más útil para el resto, también se podría reemplazar con libre Vamos a Cifrar los certificados. Para que,

  1. el uso (o instalar) un web server en el mismo equipo para el HTTP-01 reto y
  2. el uso de los certificados creados por él para el correo entrante. Ejemplo:

    smtpd_tls_cert_file=/etc/letsencrypt/live/mail.example.com/fullchain.pem
    smtpd_tls_key_file=/etc/letsencrypt/live/mail.example.com/privkey.pem
    smtpd_tls_security_level=may
    

Observe que

  • su actual smtpd_use_tls es reemplazado por smtpd_tls_security_level en Postfix ≥ 2.3.

  • con Postfix ≥ 3.4 la forma preferida para configurar el servidor de claves y certificados a través de la smtpd_tls_chain_files parámetro.

  • por RFC 3207, 4 debe utilizar TLS oportunista público hace referencia a los servidores SMTP:

    Un público que se hace referencia servidor SMTP NO DEBE requerir el uso de la STARTTLS de extensión con el fin de entregar el correo de forma local. Esta regla evita el STARTTLS extensión de los daños de la interoperabilidad de el Internet SMTP de infraestructura. Un público que se hace referencia SMTP el servidor es un servidor SMTP, el cual se ejecuta en el puerto 25 de un host de Internet aparece en el registro MX (o Un registro si un registro MX no está presente) para el nombre de dominio en el lado derecho de correo de Internet dirección.

El uso que Vamos a Cifrar con Certbot significa los certificados obtener automáticamente renovado en 2-3 meses de ciclos. Postfix no cargar estos certificados actualizados de forma automática, por lo que podría ser conveniente añadir un cronjob para realoading Postfix con el nuevo certificado con regularidad, por ejemplo, (una vez a la semana en Debian 10) con

50 5 * * 1 systemctl reload postfix

Salida TLS

Si desea agregar autenticación TLS para la recepción de los servidores de correo saliente, puede utilizar el oportunista DANE con smtp_tls_security_level. El uso de DANE requiere que la resolución de DNS tiene las capacidades de DNSSEC, y sólo se autentica a los dominios que han TLSA políticas de publicación. De nuevo, esta es la mejor práctica para aumentar la privacidad sin romper la compatibilidad hacia atrás.

dane

  • Oportunista DANE TLS. En este nivel de seguridad, el TLS de la política para la el destino se obtiene a través de DNSSEC. Para TLSA de la política, en efecto, el dominio de destino que contienen zona DNS debe ser firmado y la SMTP Postfix del sistema operativo del cliente debe estar configurado para enviar su Consultas DNS recursivo de servidor de nombres DNS que es capaz de validar la firmado registros.
# TLS, DNSSEC and DANE for SMTP client
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_security_level = dane
smtp_dns_support_level = dnssec

Si no puede usar el DANE, puede especificar manualmente una lista de dominios a los que saben que tienen cifrado y hacer cumplir el uso de TLS para ellos, solo, usando smtp_tls_policy_maps:

smtp_tls_policy_maps = hash:/etc/postfix/tls_policy

Con esta base de datos Berkeley DB, el contenido de /etc/postfix/tls_policy puede ser:

# Encrypt all mail to @gmail.com using any MX with TLS 1.2
gmail.com encrypt protocols=TLSv1.2

# Ecrypt all mail delivered using a specific nexthop destination
[contoso-com.mail.protection.outlook.com] encrypt

DANE para TLS de entrada con la que Vamos a Cifrar

La integridad, la salida DANE verificación funciona mejor si usted publicar su propio TLSA registros. Vamos a Cifrar, es un poco problemático para automatizar la publicación de las huellas dactilares para su actual certificados. En su lugar, puede utilizar DANE-TA(2) como se explicó en Favor de evitar "3 0 1" y "3 0 2 DANE TLSA registros con LE certificados:

_25._tcp.mail.example.com. IN TLSA 2 1 1 (
    60B87575447DCBA2A36B7D11AC09FB24A9DB406FEE12D2CC90180517616E8A18
)

También, para que esto funcione se necesita un DNSSEC zona firmada para su dominio.

0voto

Peleion Puntos 206

habilitar TLS y/o SSL en postfix con el fin de aumentar la capacidad de entrega de correo rendimiento

No. TLS proporciona cifrado para los usuarios y durante el transporte, pero no deben efectuar la entrega, a menos que usted está enviando a un servidor que sólo acepta TLS. Lo que va a mejorar deliverabity correctamente la configuración de DKIM, DMARC, MTA-PTS registros, etc. Este es un tema complejo que no conducen a respuestas simples aquí.

diferencia entre SSL y TLS

No hay diferencia para sus propósitos.

activado por defecto

Envío: sí, la Recepción: no - un defecto certificado autofirmado está instalado. Hay un montón de guías disponibles en la web y man postfix. También Postfix TLS documentación

reemplazarlos por mi certificado https

La mayoría de simplemente caer en el derecho. De nuevo, la web y el hombre son sus amigos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: