Det giver altid mening at kryptere e-mailkommunikationen, især hvis du også er mobil på vejen og i wlan-miljøer henter eller skriver eMails. Fordi her lurer normalt en ukendt, kommunikation i klartekst optagelse.
Med enkle indstillinger i e-mail-programmet eller smartphonen kan du aktivere den krypterede forbindelse. Forbindelsen fra e-mail-programmet til e-mail-serveren er således krypteret og sikker.
Forbindelserne mellem afsenderens og modtagerens e-mail-servere er imidlertid problematiske. Disse overføres normalt ukrypteret, da de befinder sig i et sikkert miljø. Det er dog naturligvis muligt at kopiere og aflytte e-mailtrafikken.
Man bør give sin Postfix mailserver bør i det mindste være i stand til at sende den Data krypteret, når det er muligt.
Hvis du finder poster i din maillog som f.eks:
certifikatverifikation mislykkedes for gmail-smtp-in.l.google.com
Så er din postfix ikke i stand til at læse den Certifikat til at kontrollere, om dataene skal krypteres.
Med en lille ændring i filen main.cf kan du aktivere dette med en lille ændring i filen main.cf.
For at dette kan lade sig gøre, skal ca-certifikaterne være installeret på serveren. For redhat eller centos findes dette i pakken ca-certificates
De bundtede filer findes her: /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem på centos7. Du bør have dit eget certifikat og gemme det i /etc/postfix/postfix_default.pem sammen med nøglen og root crt.
Indtast nu disse kommandoer:
postconf -e smtp_tls_security_level=may postconf -e smtp_tls_cert_file=/etc/postfix/postfix/postfix_default.pem postconf -e smtp_tls_key_file=/etc/postfix/postfix/postfix_default.pem postconf -e smtp_tls_CAfile = /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem postconf -e smtp_tls_mandatory_exclude_ciphers='aNULL, DES, RC4, MD5' postconf -e smtpd_tls_security_level=may postconf -e smtpd_tls_key_file=/etc/postfix/postfix/postfix_default.pem postconf -e smtpd_tls_cert_file=/etc/postfix/postfix/postfix_default.pem postconf -e smtpd_tls_mandatory_protocols='!SSLv2, !SSLv3' postconf -e smtpd_tls_protocols='!SSLv2, !SSLv3' postconf -e smtpd_tls_mandatory_ciphers=high postconf -e smtpd_tls_mandatory_exclude_ciphers='aNULL, DES, RC4, MD5' postconf -e tls_high_cipherlist='EDH+CAMELLIA:EDH+aRSA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA'
Fra nu af krypterer postfix til andre servere, der tilbyder dette.
Sørg dog for, at indstillingerne:
Nogle udbydere reklamerer i tv-reklamer for denne mulighed som en sikker e-mail-forsendelse. Bemærk, at det naturligvis kun er en transportkryptering, altså stien mellem de to e-mail-servere. Selve e-mailen gemmes igen i almindelig tekst på modtagerens e-mail-server.