Configuração TLS do Postfix

5

Estou no meio da configuração de um servidor de postfix no Arch Linux. Parece estar funcionando bem até agora - eu posso falar com ele via telnet localhost 25 . No entanto, quando tento me conectar usando s_client do openssl, ele reclama:

$ openssl s_client -connect localhost:25
CONNECTED(00000003)
140243743024808:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:766:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 228 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

e sai com o status 1.

Parte relevante de /etc/postfix/main.cf :

smtpd_tls_key_file = /path/to/server.key.pem
smtpd_tls_cert_file = /path/to/server.crt.pem
smtpd_tls_CAfile = /path/to/ca.pem

smtpd_tls_security_level = may

Eu também tenho a chave e o certificado em formatos não-pem, e eles estão funcionando bem com outro serviço que os utiliza (um servidor xmpp).

Eu encontrei a documentação dizendo que para conseguir isso, preciso remover o comentário de uma linha em /etc/postfix/main.cf e use a porta 587 em vez de 25. Isso me dá o mesmo de openssl s_client como acima.

Como convencer o postfix a usar o TLS?

    
por lvc 06.12.2012 / 14:12

2 respostas

3

Você não precisa usar a porta 587 para tls, porque é independente de protocolo de aplicativo.

Eu recebo exatamente o mesmo resultado que você de openssl s_client -connect localhost:25 , mas o tls está funcionando corretamente no meu servidor.

Atualmente não tenho acesso ao meu wiki pessoal, então não consegui colar o comando correto para verificar sua configuração de tls em seu sistema. Mas você pode usar o CheckTLS .

    
por 06.12.2012 / 14:31
2

Eu sugiro que você leia sobre STARTTLS . Tudo se resume a isso: iniciar uma conexão de texto simples não criptografada e atualizar para o TLS posteriormente. O comando openssl não usa isso e deseja fazer um handshake SSL / TLS diretamente.

A configuração de fato 'geral' para MTAs é configurá-lo para ter STARTTLS disponível na porta 587, SSL / TLS simples em 465 e inseguro com a opção STARTTLS na porta 25. Isso não é padrão, tanto quanto eu sei, apenas a forma como os principais fornecedores de serviços parecem fazê-lo.

    
por 06.12.2012 / 14:36

Tags