Настройка шифрования трафика протоколов SMTP и IMAP сертификатами let's Encrypt (EXIM+Dovecot)

Как я уже говорил, я продолжу настраивать тестовый почтовый сервер на базе Dovecot+Exim и сегодня мы настроим шифрование трафика SMTP и IMAP валидными сертификатами Let's encrypt.

 
 
Логотип GITA-DEV

Автор: Черноусов Антон aka Gita-Dev
Опубликовано: 26 Июл 2018 (последние правки 1 месяц)

aptitude certbot certonly dev git install letsencrypt live mta nginx smtp ssl zimbra

Этот этап очень важный и я вам рекомендую никогда не использовать передачу данных без шифрования даже в случае соединений по локальной сети. Я в статье про почтовый сервер Zimbra уделил довольно много внимания защите передачи данных в публичных сетях и вы наверное и сами понимаете к чему может привести перехват пароля от вашей почты, даже в том случае когда вам кажется, что вы ничего секретного там не передаете.

С вступлением закончили и теперь мы установим на наш сервер Nginx и Let's encrypt (Nginx мы будем использовать чуть попозже для подключения RoundCube):

# aptitude install certbot python-certbot-nginx nginx

Получаем сертификат:

# certbot certonly --nginx -d mail.gita-dev.ru

Защита трафика MTA EXIM

Настраиваем защиту трафика в MTA Exim, для чего добавляем в конфигурацию следующие параметры:

# SSL Protection 
tls_certificate = /etc/letsencrypt/live/mail.gita-dev.ru/fullchain.pem 
tls_privatekey = /etc/letsencrypt/live/mail.gita-dev.ru/privkey.pem 
tls_advertise_hosts = * 
tls_on_connect_ports=465 
daemon_smtp_ports =25:465

Проверить, что защита соединения TLS работает можно простой командой:

openssl s_client -connect mail.gita-dev.ru:465 -tls1 -servername mail.gita-dev.ru

Защита трафика IMAP-сервера Dovecot

Выполняется аналогично и в файл 10-ssl.conf добавляем (или изменяем) строки:

ssl = yes
ssl_cert = </etc/letsencrypt/live/mail.gita-dev.ru/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.gita-dev.ru/privkey.pem

Теперь мы можем настроить наш почтовый клиент на работу по защищенному протоколу.

Похожие статьи

Установка и обновление сертификата Let's encrypt для почтового сервера Zimbra

Установка и обновление сертификата Let's encrypt для почтового сервера Zimbra

Эта заметка не претендует на истину в первой инстанции и даже обязательно должна быть дополнена некоторыми механизмами авто-продления сертификатов раз в месяц, но так как последнее время на поддержке у меня не осталось Zimbra-серверов я дополню ее по по возможности. Представленный механизм полностью рабочий и многократно апробировался в реальной боевой среде.


Установка и обновление SSL-сертификатов Let's encrypt в Centos 7

Установка и обновление SSL-сертификатов Let's encrypt в Centos 7

Представляю вашему вниманию самый простой способ получить Let's encrypt сертификат в Centos 7. Более сложные методы мы рассмотрим в дальнейшем, а сейчас я продемонстрирую как установить certbot в Centos и получить Let's encrypt сертификат при помощи плагина webroot.


SSL защита подключений к Asterisk (Let's encrypt)

SSL защита подключений к Asterisk (Let's encrypt)

Наверное каждый кто работал с SIP-технологиями знает, что обмен данными по порту 5060 осуществляется в незащищенном виде и использовать программные телефоны без защиты соединения не рекомендуется, так как ваш пароль можно легко перехватить в управляющем потоке. И если простые аппаратные телефоны вообще в принципе не имеют защиты трафика при помощи SSL и могут использоваться только в рамках локальной или VPN-сети, то программные телефоны уже наверное все поддерживают защиту соедиенения.


Отзывы и комментарии