[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Postfix et ssl

Le Sat, 01 Aug 2009 18:22:21 +0200,
"Jean-Yves F. Barbier" <12ukwn@gmail.com> a écrit :
>David BERCOT a écrit :
>....
>> A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
>> J'ai donc modifier dovecot pour utiliser SSL et ça marche.
>> Par contre, je n'arrive pas à faire la même chose pour postfix !
>> 
>> A priori, j'ai besoin de mettre mes certificat/clé au niveau des
>> variables smtpd_tls_cert_file & smtpd_tls_key_file.
>> Mais après, comment faire ???
>> J'ai suivi ce tuto :
>> http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html
>> et, en local, si je fais un telnet monserveur 25, j'ai bien la
>> connexion, mais je n'ai pas la partie : "220 Ready to start TLS".
>> 
>> D'autre part, comment faire en sorte d'autoriser les connexions de
>> n'importe où (et plus seulement en local) ?
>> Est-ce suffisamment sécurisé ? En effet, comme ce sera à partir d'un
>> appareil nomade, je peux avoir n'importe quelle adresse IP.
>
>Si mes souvenirs sont bons, ça a aussi à voir avec saslauth.

Oui, il semblerait ;-)
Si j'ai bien compris, saslauth permettrait de gérer l'authentification
et, en plus, on utiliserait SSL pour le cryptage.

Toutefois, j'aurais besoin de 2 choses :
- que les messages de mon domaine arrivent normalement sur mon serveur
  (port 25)
- que les messages que j'envoie (vers n'importe quel domaine) passent
  par un port différent et nécessitent une authentification (la même
  que celle que j'utilise pour relever le courrier).

Et là, j'ai du mal !!!

>Personnellement, ça m'a gavé au bout d'un certain temps (et d'un temps
>certain:), et j'ai fini par setupêter Apache en SSL only + installer
>Squirrelmail: ça m'a pris plus de 15 minutes pour trouver les bonnes
>commandes de génération des clés ssh (ssh c'est tjrs la galère pour
>trouver la bonne info...), et moins de 3 minutes pour le reste. 
>
>C'est accessible de n'importe où, ça peut contenir ton carnet
>d'adresses et ça permet d'outrepasser facilement l'éventuel filtrage
>du port 25.
>
>Si ça t'intéresse, j'ai gratté un chtit script pour automatiser la
>création des clé & certificat.
>
>A moins, bien sur que tu ne cherches qu'à proposer la facilité d'un
>STMP direct à des users distants  (auquel cas je suis intéressé par la
>solution)

Ben oui, c'est exactement ça que je voudrais... Pas de bol :-(

David.
Reply to: