Documentazione<Precedenti | Contenuti | Succ.>
1.3. Autenticazione SMTP
SMTP-AUTH consente a un client di identificarsi tramite un meccanismo di autenticazione (SASL). Transport Layer Security (TLS) deve essere utilizzato per crittografare il processo di autenticazione. Una volta autenticato, il server SMTP consentirà al client di inoltrare la posta.
1. Configura Postfix per SMTP-AUTH utilizzando SASL (Dovecot SASL):
sudo postconf -e 'smtpd_sasl_type = dovecot'
sudo postconf -e 'smtpd_sasl_path = private/auth' sudo postconf -e 'smtpd_sasl_local_domain ='
sudo postconf -e 'smtpd_sasl_security_options = noanonymous' sudo postconf -e 'broken_sasl_auth_clients = yes'
sudo postconf -e 'smtpd_sasl_auth_enable = yes' sudo postconf -e 'smtpd_recipient_restrictions = \
allow_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
. smtpd_sasl_path configurazione è un percorso relativo alla directory della coda di Postfix.
2. Quindi, generare o ottenere un certificato digitale per TLS. Vedere la Sezione 5, «Certificati» [p. 198] per i dettagli. Questo esempio utilizza anche un'autorità di certificazione (CA). Per informazioni sulla generazione di un certificato CA, vedere Sezione 5.5, «Autorità di certificazione» [p. 200].
I MUA che si connettono al tuo server di posta tramite TLS dovranno riconoscere il certificato utilizzato per TLS. Questa operazione può essere eseguita utilizzando un certificato di una CA commerciale o con un certificato autofirmato che gli utenti installano/accettano manualmente. Da MTA a MTA, i certificati TLS non vengono mai convalidati senza il previo consenso delle organizzazioni interessate. Da MTA a MTA TLS, a meno che la politica locale non lo richieda, non c'è motivo per non utilizzare un certificato autofirmato. Fare riferimento alla Sezione 5.3, «Creazione di un certificato autofirmato» [p. 200] per maggiori dettagli.
3. Una volta ottenuto un certificato, configura Postfix per fornire la crittografia TLS sia per la posta in entrata che per quella in uscita:
sudo postconf -e 'smtp_tls_security_level = maggio' sudo postconf -e 'smtpd_tls_security_level = maggio'
sudo postconf -e 'smtp_tls_note_starttls_offer = si'
sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/server.key' sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/server.crt' sudo postconf -e 'smtpd_tls_loglevel = 1'
sudo postconf -e 'smtpd_tls_received_header = yes' sudo postconf -e 'myhostname = mail.example.com'
4. Se stai usando il tuo Certificate Authority per firmare il certificato inserire:
sudo postconf -e 'smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem'
Anche in questo caso, per maggiori dettagli sui certificati, vedere Sezione 5, «Certificati» [p. 198].
Dopo aver eseguito tutti i comandi, Postfix è configurato per SMTP-AUTH ed è stato creato un certificato autofirmato per la crittografia TLS.
Ora, il file /etc/postfix/main.cf Dovrebbe essere simile a questo:
# Vedere /usr/share/postfix/main.cf.dist per un commento più completo
# versione
smtpd_banner = $miohostname ESMTP $mail_name (Ubuntu) biff = no
# l'aggiunta di .domain è compito del MUA. append_dot_mydomain = no
# Decommenta la riga successiva per generare avvisi di "posta ritardata"
#delay_warning_time = 4 ore
myhostname = server1.example.com alias_maps = hash:/etc/alias alias_database = hash:/etc/alias myorigin = /etc/mailname
miadestinazione = server1.example.com, localhost.example.com, localhost relayhost =
miereti = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0
recipient_delimiter = + inet_interfaces = all smtpd_sasl_local_domain = smtpd_sasl_auth_enable = sì
smtpd_sasl_security_options = noanonimo broken_sasl_auth_clients = sì smtpd_recipient_restrictions =
allow_sasl_authenticated,permit_mynetworks,reject _unauth_destination smtpd_tls_auth_only = no
smtp_tls_security_level = può smtpd_tls_security_level = può smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /etc/ssl/private/smtpd.key smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = sì smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom
La configurazione iniziale di suffisso è completa. Eseguire il seguente comando per riavviare il demone suffisso:
sudo systemctl riavvia postfix.service
Postfix supporta SMTP-AUTH come definito in RFC25541. Si basa su SASL2. Tuttavia è ancora necessario configurare l'autenticazione SASL prima di poter utilizzare SMTP-AUTH.