Dokumentation1.3. SMTP-Authentifizierung
SMTP-AUTH ermöglicht einem Client, sich über einen Authentifizierungsmechanismus (SASL) zu identifizieren. Transport Layer Security (TLS) sollte verwendet werden, um den Authentifizierungsprozess zu verschlüsseln. Nach der Authentifizierung erlaubt der SMTP-Server dem Client, E-Mails weiterzuleiten.
1. Konfigurieren Sie Postfix für SMTP-AUTH mit SASL (Dovecot SASL):
sudo postconf -e 'smtpd_sasl_type = Taubenschlag'
sudo postconf -e 'smtpd_sasl_path = private/auth' sudo postconf -e 'smtpd_sasl_local_domain ='
sudo postconf -e 'smtpd_sasl_security_options = noanonymous' sudo postconf -e 'broken_sasl_auth_clients = yes'
sudo postconf -e 'smtpd_sasl_auth_enable = ja' sudo postconf -e 'smtpd_recipient_restrictions = \
allow_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
Das smtpd_sasl_path Konfiguration ist ein Pfad relativ zum Postfix-Warteschlangenverzeichnis.
2. Als nächstes generieren oder erhalten Sie ein digitales Zertifikat für TLS. Siehe Abschnitt 5, „Zertifikate“ [S. 198] für Details. In diesem Beispiel wird auch eine Zertifizierungsstelle (CA) verwendet. Informationen zum Generieren eines CA-Zertifikats finden Sie unter Abschnitt 5.5, „Zertifizierungsstelle“ [p. 200].
MUAs, die sich über TLS mit Ihrem Mailserver verbinden, müssen das für TLS verwendete Zertifikat erkennen. Dies kann entweder mit einem Zertifikat einer kommerziellen Zertifizierungsstelle oder mit einem selbstsignierten Zertifikat erfolgen, das Benutzer manuell installieren/akzeptieren. Für MTA zu MTA werden TLS-Zertifikate niemals ohne vorherige Zustimmung der betroffenen Organisationen validiert. Für MTA-zu-MTA-TLS gibt es keinen Grund, kein selbstsigniertes Zertifikat zu verwenden, es sei denn, die lokale Richtlinie erfordert dies. Siehe Abschnitt 5.3, „Erstellen eines selbstsignierten Zertifikats“ [p. 200] für weitere Details.
3. Sobald Sie über ein Zertifikat verfügen, konfigurieren Sie Postfix so, dass sowohl für eingehende als auch für ausgehende E-Mails TLS-Verschlüsselung bereitgestellt wird:
sudo postconf -e 'smtp_tls_security_level = kann' sudo postconf -e 'smtpd_tls_security_level = kann'
sudo postconf -e 'smtp_tls_note_starttls_offer = yes'
sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/server.key' sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/server.crt' sudo postconf -e 'smtpd_tls_loglevel = 1'
sudo postconf -e 'smtpd_tls_received_header = yes' sudo postconf -e 'myhostname = mail.example.com'
4. Wenn Sie Ihre eigenen verwenden Zertifizierungsstelle Um das Zertifikat zu unterschreiben, geben Sie ein:
sudo postconf -e 'smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem'
Weitere Einzelheiten zu Zertifikaten finden Sie wiederum in Abschnitt 5, „Zertifikate“ [p. 198].
Nachdem alle Befehle ausgeführt wurden, ist Postfix für SMTP-AUTH konfiguriert und ein selbstsigniertes Zertifikat für die TLS-Verschlüsselung erstellt.
Jetzt die Datei /etc/postfix/main.cf Sollte so aussehen:
# Siehe /usr/share/postfix/main.cf.dist für eine kommentierte, vollständigere
# Ausführung
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = nein
# Das Anhängen von .domain ist die Aufgabe des MUA. append_dot_mydomain = nein
# Entkommentieren Sie die nächste Zeile, um Warnungen vor "verspäteter E-Mail" zu generieren
#delay_warning_time = 4h
myhostname = server1.example.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname
mydestination = server1.example.com, localhost.example.com, localhost Relayhost =
meinenetzwerke = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0
receiver_delimiter = + inet_interfaces = alle smtpd_sasl_local_domain = smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous defekt_sasl_auth_clients = ja smtpd_recipient_restrictions =
allow_sasl_authenticated,permit_mynetworks,reject _unauth_destination smtpd_tls_auth_only = no
smtp_tls_security_level = kann smtpd_tls_security_level = kann smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /etc/ssl/private/smtpd.key smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = ja smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom
Die Postfix-Erstkonfiguration ist abgeschlossen. Führen Sie den folgenden Befehl aus, um den Postfix-Daemon neu zu starten:
sudo systemctl Neustart postfix.service
Postfix unterstützt SMTP-AUTH wie in RFC2554 definiert1. Es basiert auf SASL2. Es ist jedoch weiterhin erforderlich, die SASL-Authentifizierung einzurichten, bevor Sie SMTP-AUTH verwenden können.