Re: Postfix et ssl

To: debian-user-french@lists.debian.org
Subject: Re: Postfix et ssl
From: mouss <mouss@ml.netoyen.net>
Date: Sun, 02 Aug 2009 13:24:27 +0200
Message-id: <[🔎] 20090802113408.8B9F913A5E50@liszt.debian.org>
Reply-to: mouss+nobulk@netoyen.net
In-reply-to: <[🔎] 20090801174117.2dce07eb@david.huperie>
References: <[🔎] 20090801174117.2dce07eb@david.huperie>

David BERCOT a écrit :
> Bonjour,
> 
> Jusqu'à présent, je n'utilisais mon serveur de messagerie qu'en local.
> Ainsi, les risques d'utilisation frauduleuse me semblaient plutôt
> réduits.
> 
> A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
> J'ai donc modifier dovecot pour utiliser SSL et ça marche.
> Par contre, je n'arrive pas à faire la même chose pour postfix !
> 
> A priori, j'ai besoin de mettre mes certificat/clé au niveau des
> variables smtpd_tls_cert_file & smtpd_tls_key_file.
> Mais après, comment faire ???

Tu as activé TLS dans main.cf? et rechargé la config (postfix reload).

que donnent:
$ postconf mail_version
et
$ postconf -n |grep tls

Attention à la coquille commune: smtp != smtpd


> J'ai suivi ce tuto :
> http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html

Elle est pas bien la doc officielle?

http://www.postfix.org/TLS_README.html

Si on utilise une doc qui date, on risque de vivre dans un monde où  le
temps se fige ;-p


> et, en local, si je fais un telnet monserveur 25, j'ai bien la
> connexion, mais je n'ai pas la partie : "220 Ready to start TLS".
> 

et avant ça, quand tu tapes la commande EHLO, est-ce que tu vois
STARTTLS parmi les extensions supportées?



> D'autre part, comment faire en sorte d'autoriser les connexions de
> n'importe où (et plus seulement en local) ?

si tu veux utiliser le port 587 ("submission"), il suffit de l'activer
master.cf. avec les options suivantes:

submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject

l'authentification sera necessaire et TLS est forcé.


> Est-ce suffisamment sécurisé ?

- il faut appliquer les mises à jour de sécurité. par exemple, s'il y a
un gros bug dans openssl, faut pas laisser trainer.
- il faut protéger le mot de passe. En particulier, "mdp toujours
sortira couvert", y compris si tu utilises un webmail (donc forcer https).

si tu te connectes d'une machine qui n'est pas la tienne (genre
cybercafé), les choses deviennent plus corsées.


> En effet, comme ce sera à partir d'un
> appareil nomade, je peux avoir n'importe quelle adresse IP.
> 
> Merci d'avance.
> 
> David.

Reply to:

References:
- Postfix et ssl
  - From: David BERCOT <david@bercot.org>

Prev by Date: Problème de couleur xfce-xterm et xterm
Next by Date: Re: Problème de couleur xfce-xterm et xterm
Previous by thread: Re: Postfix et ssl
Next by thread: Trackball Kensington et clic milieu
Index(es):
- Date
- Thread