Como criptografar emails Postfix com SSL

2

Eu tenho 2 domínios registrados e registros MX configurados e apontando para o mesmo servidor. A saída desta ferramenta link é

10  mail.mydomain.club          IP  5 min
10  mail.myotherdomain.com  sameIP  5 min

para que isso esteja funcionando.

Eu segui este guia na configuração do postfix com dovecot e MariaDB.

Cada example.com é substituído por myotherdomain.com e hostname minha máquina é mydomain.club (se eu alterá-lo, /etc/resolv.conf será redefinido e eu começar a enviar e-mails como hostname.mydomain.club , então deixei isso como está. ) Meu problema é que os serviços de e-mail, como o gmail, estão dizendo que o e-mail que eu envio não está criptografado.

Estas são as entradas ssl no meu arquivo /etc/postfix/main.cf que considero relevantes:

smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/pki/tls/certs/myotherdomain_com.crt
smtpd_tls_key_file = /etc/pki/tls/certs/server.key

Recebi o certificado PositiveSSL myotherdomain_com.crt do namecheap, quando registrei um myotherdomain.com, server.key foi gerado quando eu publiquei

openssl req -new  -newkey rsa:2048 -nodes -keyout server.key -out server.csr

Quando eu envio um email com o comando mutt -f . , estando em /home/vmail/myotherdomain.com/sales/Maildir , o email é enviado de [email protected] e o gmail reclama que não está encriptado. Se eu usar EMAIL="[email protected]" mutt , o Gmail ainda reclama que o email não está criptografado. myotherdomain.com usa https com sucesso, enquanto mydomain.club usa http simples e também funciona como desejado.

Não tenho ideia de por que minha criptografia não funciona. Você pode me ajudar? Vai postar todos os arquivos adicionais que você precisa. Eu estou correndo centOS 7.

Mensagem no gmail:

mydomain.club did not encrypt this message

Eu não sei o que diz mydomain.club , porque eu queria enviar e-mail como myotherdomain.com para o qual eu comprei e instalei o certificado

Exemplo do arquivo /var/mail/maillog quando tento enviar e-mails usando myotherdomain.com . Observe que mydomain.club ainda aparece no arquivo de log.

Feb 11 22:26:37 mydomain postfix/pickup[19101]: 550544A59: uid=0 from=<root>
Feb 11 22:26:37 mydomain postfix/cleanup[19514]: 550544A59: message-id=<[email protected]>
Feb 11 22:26:37 mydomain postfix/qmgr[5412]: 550544A59: from=<[email protected]>, size=461, nrcpt=1 (queue active)
Feb 11 22:26:38 mydomain postfix/smtp[19522]: 550544A59: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[2607:f8a0:400e:c04::1b]:25, delay=1.1, $
Feb 11 22:26:38 mydomain postfix/qmgr[5412]: 550544A59: removed
    
por sanjihan 10.02.2017 / 20:16

2 respostas

3

A configuração que você deseja colocar em main.cf para ativar a criptografia oportunista é

smtp_tls_security_level = may

    
por 04.06.2017 / 22:24
2

Aqui está a seção tls da minha configuração para o postfix, o gmail reconhece as mensagens como sendo enviadas criptografadas. Eu estou usando um certificado letsencrypt em um sistema Debian

smtpd_use_tls = yes
smtpd_tls_key_file = /etc/letsencrypt/live/my.domain/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/my.domain/fullchain.pem
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_exchange_name = /var/run/prng_exch
tls_random_source = dev:/dev/urandom
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_dh1024_param_file = /etc/ssl/postfix/dhparams.pem
smtpd_tls_auth_only = yes
smtp_tls_security_level = may
smtpd_use_tls=yes
smtpd_tls_security_level=may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_loglevel=1
smtp_tls_loglevel=1
    
por 12.02.2017 / 00:46