[Megoldva] Postfix tls és a starttls használata egyszerre

Web, mail, IRC, IM, hálózatok

Sziasztok!

Megköszönöm, ha valaki tud mutatni egy olyan működő konfig példát ahol a postfix elfogadja a tls és a starttls küldést is. Az a terv, hogy a tls a 465-ös porton a stattls meg az 587-es porton működjön. Elvileg képes rá, ezt több helyen olvastam, de sehol sem találok példát, hogyan lehet egyszerre két smtpd-t indítani különböző konfiggal.

  • 238 megtekintés

( uid_395 v | 2021. 07. 30., p – 08:34 )

A 465ös portot nagyon el kellene már felejteni szerintem. De nem is értem milyen két különbőző konfigot akarsz ?

465ös port használathoz kb annyi kell hogy kiszeded a kommentet a master.cf smtps része elől ..

Itt egy működő "példa"

master.cf

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#smtp      inet  n       -       y       -       1       postscreen
#smtpd     pass  -       -       y       -       -       smtpd
#dnsblog   unix  -       -       y       -       0       dnsblog
#tlsproxy  unix  -       -       y       -       0       tlsproxy
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_auth_only=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=$mua_client_restrictions
  -o smtpd_helo_restrictions=$mua_helo_restrictions
  -o smtpd_sender_restrictions=$mua_sender_restrictions
  -o smtpd_recipient_restrictions=
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=$mua_client_restrictions
  -o smtpd_helo_restrictions=$mua_helo_restrictions
  -o smtpd_sender_restrictions=$mua_sender_restrictions
  -o smtpd_recipient_restrictions=
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

main.cf

smtpd_tls_auth_only = yes
smtp_tls_cert_file = /etc/letsencrypt/live/DOMAINED.hu/fullchain.pem
smtp_tls_key_file = /etc/letsencrypt/live/DOMAINED.hu/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/DOMAINED.hu/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/DOMAINED.hu/privkey.pem
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_tls_received_header = yes
smtpd_tls_CApath = /etc/ssl/certs
smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_protocols= !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_mandatory_ciphers = high
tls_preempt_cipherlist = yes
smtpd_tls_auth_only = yes
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_mandatory_protocols = TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = TLSv1.2, !TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers = high
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
tls_preempt_cipherlist = yes
tls_high_cipherlist = kEECDH:+kEECDH+SHA:kEDH:+kEDH+SHA:+kEDH+CAMELLIA:kECDH:+kECDH+SHA:kRSA:+kRSA+SHA:+kRSA+CAMELLIA:!aNULL:!eNULL:!SSLv2:!RC4:!MD5:!DES:!EXP:!SEED:!IDEA:!3DES
tls_medium_cipherlist = kEECDH:+kEECDH+SHA:kEDH:+kEDH+SHA:+kEDH+CAMELLIA:kECDH:+kECDH+SHA:kRSA:+kRSA+SHA:+kRSA+CAMELLIA:!aNULL:!eNULL:!SSLv2:!MD5:!DES:!EXP:!SEED:!IDEA:!3DES
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_received_header = yes
tls_ssl_options = 0x40000000
smtpd_tls_eecdh_grade = ultra
smtp_tls_loglevel = 2
smtpd_tls_loglevel = 2
smtp_tls_note_starttls_offer = yes
smtpd_tls_note_starttls_offer = yes
smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem

Nyilván még egy rakás opció és egyéb beállítás kell a configba.

Fixme..

Köszi szépen. Ha jól értem a dolgot, a master.cf-ben állítom be, hogy menjen a TLS is, meg azokat a paramétereket amik különböznek és main.cf-be meg mehetnek azok a dolgok, amik ugyan azok?

Eszem ágában sem volt használni a 465/tls-t de olyan csillagállás alakult, hogy a főnök mac-et használ mac-es outolok-al (erről nem lehet lebeszélni...) amibe a köcsög M$ nem rakta bele a starttls-t, ami a windows-os  otlook-ban viszont benne van. Egyenlőre nincs jobb ötletem, mint, hogy bekapcsolom a postfix-ben a tls-t is.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Jah hogy így. Ha már van egy működő starttls configod postfixnél, akkor tényleg kb csak annyi hogy kiszeded a kommentet az smtps elől a master.cf-ben és tádám menni fog a 465 ös port is.

De ehhez nyilván az kell, hogy a 25/587 (smtp/submission ként szerepel a mastercfben) már beszélgessen és jól működjön.

Az 587-már megy, azzal nincs gond. Köszi a segítséget.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Igen, és jóval egyszerűbb volt a megoldás, mint ahogy gondoltam :)

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.