...

postfix: udgående e-mails overføres krypteret

Det giver altid mening at kryptere e-mailkommunikationen, især hvis du også er mobil på vejen og i wlan-miljøer henter eller skriver eMails. Fordi her lurer normalt en ukendt, kommunikation i klartekst optagelse.

Med enkle indstillinger i e-mail-programmet eller smartphonen kan du aktivere den krypterede forbindelse. Forbindelsen fra e-mail-programmet til e-mail-serveren er således krypteret og sikker.

Forbindelserne mellem afsenderens og modtagerens e-mail-servere er imidlertid problematiske. Disse overføres normalt ukrypteret, da de befinder sig i et sikkert miljø. Det er dog naturligvis muligt at kopiere og aflytte e-mailtrafikken.

Man bør give sin Postfix mailserver bør i det mindste være i stand til at sende den Data krypteret, når det er muligt.

Hvis du finder poster i din maillog som f.eks:

certifikatverifikation mislykkedes for gmail-smtp-in.l.google.com

Så er din postfix ikke i stand til at læse den Certifikat til at kontrollere, om dataene skal krypteres.

Med en lille ændring i filen main.cf kan du aktivere dette med en lille ændring i filen main.cf.

For at dette kan lade sig gøre, skal ca-certifikaterne være installeret på serveren. For redhat eller centos findes dette i pakken ca-certificates
De bundtede filer findes her: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem på centos7. Du bør have dit eget certifikat og gemme det i /etc/postfix/postfix_default.pem sammen med nøglen og root crt.

Indtast nu disse kommandoer:

postconf -e smtp_tls_security_level=may
postconf -e smtp_tls_cert_file=/etc/postfix/postfix/postfix_default.pem
postconf -e smtp_tls_key_file=/etc/postfix/postfix/postfix_default.pem
postconf -e smtp_tls_CAfile = /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
postconf -e smtp_tls_mandatory_exclude_ciphers='aNULL, DES, RC4, MD5'

postconf -e smtpd_tls_security_level=may
postconf -e smtpd_tls_key_file=/etc/postfix/postfix/postfix_default.pem
postconf -e smtpd_tls_cert_file=/etc/postfix/postfix/postfix_default.pem
postconf -e smtpd_tls_mandatory_protocols='!SSLv2, !SSLv3'
postconf -e smtpd_tls_protocols='!SSLv2, !SSLv3'
postconf -e smtpd_tls_mandatory_ciphers=high
postconf -e smtpd_tls_mandatory_exclude_ciphers='aNULL, DES, RC4, MD5'
postconf -e tls_high_cipherlist='EDH+CAMELLIA:EDH+aRSA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'

Fra nu af krypterer postfix til andre servere, der tilbyder dette.

Sørg dog for, at indstillingerne:

Nogle udbydere reklamerer i tv-reklamer for denne mulighed som en sikker e-mail-forsendelse. Bemærk, at det naturligvis kun er en transportkryptering, altså stien mellem de to e-mail-servere. Selve e-mailen gemmes igen i almindelig tekst på modtagerens e-mail-server.

Aktuelle artikler