Criando uma conexão TLS confiável a partir do cliente Postfix

3

Gostaria de retransmitir e-mails enviados do meu MTA por meio de um servidor de terceiros (outbound.mailhop.org) para a entrega final. Eu estou querendo saber como fazer a conexão segura entre as máquinas 'confiáveis'. Esta é a parte relevante da minha configuração atual do Postfix:

smtp_use_tls                    = yes
smtp_tls_CAfile                 = /etc/ssl/certs/ca-certificates.crt
smtp_tls_security_level         = may
smtp_tls_loglevel               = 1
smtp_sasl_auth_enable           = yes
smtp_sasl_security_options      = noanonymous
smtp_sasl_password_maps         = hash:/etc/postfix/relay
relayhost                       = [outbound.mailhop.org]      

Quando eu envio uma mensagem de teste dos registros de e-mail,

Untrusted TLS connection established to outbound.mailhop.org[54.186.218.12]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)

Como posso tornar essa conexão "confiável"?

    
por tcdaly 03.04.2016 / 19:02

1 resposta

1

Ok, então nos comentários deduzo que você quer uma conexão "confiável", mesmo que você não saiba o que "confiável" significa em primeiro lugar. Bem, para simplificar, significa que você afirma que sabe com quem está falando .

Você pode ver seu certificado e sua cadeia. Você não precisa perguntar a eles, pois o certificado deles é informação pública. A prática recomendada recomendaria que você perguntasse se o certificado obtido ao se conectar é realmente seu certificado, fazendo com que ele verifique a impressão digital por telefone ou algo parecido. Para mais detalhes, por favor, leia sobre o assunto.

Se a CA raiz com a qual seu certificado é assinado vem de uma autoridade de certificação pública, a inserção dessa autoridade de certificação raiz no arquivo significa que você confia em todos com um certificado assinado pela autoridade de certificação raiz. Se isso não é o que você quer e você realmente só quer confiar neles e mais ninguém, então você poderia usar o smtp_tls_trust_anchor_file opção.

Se você só fala com esse relay, você pode / deve usar smtp_tls_security_level=encrypt , já que ele não voltará a uma conexão de texto simples, e a conexão será criptografada ou a conexão falhará.

Como afirmado nos comentários, você também deve evitar usar smtp_use_tls se estiver usando o Postfix 2.3 e superior, pois esse comando está obsoleto. Basta usar smtp_tls_security_level conforme descrito acima.

Finalmente, o link é seu amigo.

    
por 03.04.2016 / 20:06

Tags