Назад | Перейти на главную страницу

Создание доверенного TLS-соединения из клиента Postfix

Я хотел бы ретранслировать исходящую электронную почту от моего MTA через сторонний сервер (outbound.mailhop.org) для окончательной доставки. Мне интересно, как сделать безопасное соединение между машинами «доверенным». Это соответствующая часть моей текущей конфигурации Postfix:

smtp_use_tls                    = yes
smtp_tls_CAfile                 = /etc/ssl/certs/ca-certificates.crt
smtp_tls_security_level         = may
smtp_tls_loglevel               = 1
smtp_sasl_auth_enable           = yes
smtp_sasl_security_options      = noanonymous
smtp_sasl_password_maps         = hash:/etc/postfix/relay
relayhost                       = [outbound.mailhop.org]

Когда я отправляю тестовое сообщение, я получаю из почтовых журналов

Untrusted TLS connection established to outbound.mailhop.org[54.186.218.12]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)

Как я могу сделать это соединение «доверенным»?

postfix tls

Итак, из комментариев я делаю вывод, что вам нужно «надежное» соединение, даже если вы не знаете, что в первую очередь означает «доверенный». Ну, чтобы было проще, это означает, что вы утверждаю, что знаешь, с кем говоришь.

Вы можете посмотреть их сертификат и его цепочку. Спрашивать их не нужно, поскольку их сертификат является общедоступной. Лучшая практика рекомендует вам спросить их, действительно ли сертификат, который вы получаете при подключении, является их сертификатом, попросив их проверить отпечаток пальца по телефону или аналогичным образом. Для получения дополнительной информации, пожалуйста, прочтите эту тему.

Если корневой ЦС, которым подписан их сертификат, поступает из общедоступного ЦС, то включение этого корневого ЦС в файл будет означать, что вы доверяете всем сертификат, подписанный этим корневым ЦС. Если это не то, что вы хотите, и вы действительно хотите доверять только им и никому другому, тогда вы можете использовать smtp_tls_trust_anchor_file вариант.

Если вы разговариваете только с этим реле, вы можете / должны использовать smtp_tls_security_level=encrypt поскольку он не вернется к открытому текстовому соединению, и либо соединение будет зашифровано, либо соединение не удастся.

Как указано в комментариях, вам также следует воздержаться от использования smtp_use_tls при использовании Postfix 2.3 и выше, поскольку эта команда устарела. Просто используйте smtp_tls_security_level как указано выше.

В заключение, http://www.postfix.org/postconf.5.html твой друг.