место в рейтинге
  • 1008165
  • 672
  • 84
Нравится блог?
Подписывайтесь!

Включение TLS/SSL в Postfix, Dovecot и RoundCube

В этой короткой записке описано о включении защищенного протокола в следующих программах/интерфейсе:

1. SMTP сервере Postfix

2. POP3/IMAP сервере Dovecot

3. Web интерфейс RoundCube

Будем двигаться по следующей последовательности:

- Сперва создадим сертификаты по которым будет происходит шифрованное соединение

- Настроим Postfix

- Настроим Dovecot

- Настроим RoundCube

 

Создаем само подписанные сертификаты

Первым делом надо создать само подписанные сертификаты:

# mkdir /etc/postfix/certs

# openssl req -new -x509 -days 3650 -nodes -out /etc/postfix/certs/cert.pem -keyout /etc/postfix/certs/key.pem

 

Настройка

А теперь уже можно настраивать Postfix, Dovecot и RoundCube

 

SMTP сервер Postfix

Открываем файл /etc/postfix/main.cf и добавляем в него настройки (обычно стоят возле smtpd_sasl)

###################TLS######################

smtpd_use_tls = yes

smtp_tls_security_level = may

smtpd_tls_security_level = may

smtpd_tls_loglevel = 1

smtpd_tls_received_header = yes

smtpd_tls_session_cache_timeout = 3600s

smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache

smtpd_tls_key_file = /etc/postfix/certs/key.pem

smtpd_tls_cert_file = /etc/postfix/certs/cert.pem

tls_random_source = dev:/dev/urandom

###################TLS######################

Открываем файл /etc/postfix/master.cf и находим строчку и раскомментируем ее:

smtps     inet  n       -       n       -       -       smtpd

А также добавим в конец файла:

submission inet n       -       n       -       -       smtpd

-o syslog_name=postfix/submission

-o smtpd_tls_wrappermode=no

-o smtpd_tls_security_level=encrypt

-o smtpd_sasl_auth_enable=yes

-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination

-o milter_macro_daemon_name=ORIGINATING

Настроим Dovecot
Отрываем файл /etc/dovecot/dovecot.conf и добавляем строчки:

ssl = yes

ssl_cert = </etc/postfix/certs/cert.pem

ssl_key = </etc/postfix/certs/key.pem

А также вписываем:

service imap-login {

executable = /usr/libexec/dovecot/imap-login

inet_listener imap {

address = *

port = 143

}

inet_listener imaps {

port = 993

ssl = yes

}

}

service imap {

executable = /usr/libexec/dovecot/imap

}

service pop3-login {

executable = /usr/libexec/dovecot/pop3-login

inet_listener pop3 {

address = *

port = 110

}

inet_listener pop3s {

port = 995

ssl = yes

}

}

Настроим RoundCube
Открываем файл /var/www/html/roundcube/config/main.inc.php
В нем находим строчки и меняем их значения на:
$rcmail_config['default_host'] = 'ssl://10.168.50.2:993';
$rcmail_config['force_https'] = true;
Здесь можно вписать доменное имя или IP адрес почтового сервера.
Настройка фаервола
Когда будете настраивать сетевой брандмаэр, откройте следующие порты:

- стандартные без шифрования:

578 -  SMTP (Submission)
143 -  IMAP
110 -  POP3
25 -  SMTP

- стандартные с шифрованием:

IMAP — 143 (при использовании шифрования STARTTLS) и 993 (при использовании шифрования SSL/TLS)  
POP3 — 995 (с шифрованием)  
SMTP — 465 (с шифрованием).

 

Настройки виртуального хоста для веб интерфейса RoundCube

Создаем файл /etc/httpd/conf.d/rc.conf

<Virtualhost mail.point.local:443>

ServerName mail.point.local

ServerAdmin admin@point.local

DocumentRoot "/var/www/html/roundcube/"

SSLEngine on

SSLCertificateFile /etc/postfix/certs/cert.pem

SSLCertificateKeyFile /etc/postfix/certs/key.pem

# Поскольку roundcube написан на PHP и мы

# не предполагаем запуск чего-либо кроме PHP скриптов

# на этом виртуалхосте, то на всякий случай отключаем CGI

# и запрещаем изменение параметров ./htaccess'ом

<Directory "/var/www/html/roundcube/">

Options -ExecCGI

AllowOverride None

SSLRequireSSL

</Directory>

# Запрещаем PHP скриптам выходить за пределы

# директории виртуалхоста

php_admin_value open_basedir /var/www/html/roundcube

php_admin_value safe_mode_include_dir /var/www/html/roundcube

#php_admin_value safe_mode_exec_dir /noexec

php_admin_value doc_root /var/www/html/roundcube

php_admin_value upload_tmp_dir /var/www/html/roundcube/temp

php_admin_value session.save_path /var/www/html/roundcube/temp

 

# Логирование

ErrorLog /var/log/httpd/roundcube-error.log

TransferLog /var/log/httpd/roundcube-access.log

</Virtualhost>

 

Теперь в браузере можно ввести: https://mail.point.local

Almas AkeHayc
Пишу для себя, блог как записная книжка. Со временем все забывается, а у меня оно все в бложике. Будьте упертым глухим бегемотиком :)
9 января 2014, 23:43
7831

Loading...

Комментарии

Добрый день. Применил данный способ к статье akehayc.yvision.kz В сети не видит mail.point.local Выйдите в скайп.
При отправке письма: ошибка о невозможности соединиться с mx.point.local
С Уважением
Также ThunderBird показывает автоматические настройки с STARTTLS через порты 110 и 25.
При выборе SSL/TLS и портов 995 и 465 соединение не устанавливается.
Расскоментируй строчки в master.cf

-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

В Outlook надо указать тип шифрования - SSL
Порт 995 IMAP
Порт 993 POP
Порт 465 SMTP
что в firewall добавить? открываю порт 443 - вебинтерфейс доступен в сети, письма не отправляются.
Согласно статье стоит -o smtpd_tls_wrappermode=no
SMTP можешь выбрать порт 587, он работает в двух режимах шифрованный и не шифрованный.
Кстати, клиент Thunderbird у меня по IMAPS протоколу не заработал, не работает он с само-подписанными сертификатами.
roundcube не хочет отправлять письма, в installer отправляет
и postfixadmin не отправляет
в службах указано, что postfix не работает
IMAP работает и на 143 и на 995 порту. SMTP не работает
Посмотри логи, там должна быть разгадка)
Можешь через TimeViewer посмотреть? Какие настройки сетевой карты прописать для доступа?
Данные для подключения скинул в скайп. Все настройки SSL удалил, оставил сервер в состоянии после этой статьи akehayc.yvision.kz
Могу посмотреть, может и помогу.
Добрый день. Отправил на Skype информацию для доступа
Вчера времени не было посмотреть, давай сегодня.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Исламская ипотека в Казахстане: в этом году выйдет на розничный рынок

Исламская ипотека в Казахстане: в этом году выйдет на розничный рынок

Многие клиенты, вздыхая о харамном ссудном проценте местных банков, сокрушались по поводу отсутствия у нас халяльного кредитования. Поддержка исламского банкинга на уровне МФЦА есть...
DanaJarlygapova
24 марта 2017 / 18:28
  • 8017
  • 44
Престарелый старец-киборг Рокфеллер предлагал уничтожить 90% населения Земли

Престарелый старец-киборг Рокфеллер предлагал уничтожить 90% населения Земли

Первую пересадку сердца Рокфеллер пережил в 1976 году на 62-м году жизни. Последнюю пересадку ему сделали в августе 2016 года. Пересадка сердца такому старому пациенту не имеет аналогов...
Timur_Tregulov
21 марта 2017 / 23:10
  • 6455
  • 52
Компания LG Electronics открыла предзаказ на новый флагман LG G6

Компания LG Electronics открыла предзаказ на новый флагман LG G6

LG Electronics объявляет о начале предварительного заказа онлайн на новый смартфон LG G6. Оформить предзаказ можно на сайтах магазинов электроники до 16 апреля 2017 года.
LG Electronics
24 марта 2017 / 14:20
  • 4508
  • 0
Беременность по-американски. Никто не ждет до 40 дней, с малышом гуляют с первого дня

Беременность по-американски. Никто не ждет до 40 дней, с малышом гуляют с первого дня

Мои волшебные 9 месяцев протекали в новой среде и далеко от всех родственников и подружек. Никто из моих знакомых в США на тот момент не успел обзавестись малышом, поэтому мне не с кем было...
Zarema_
23 марта 2017 / 9:25
  • 4061
  • 14
Алматы – это город-урод. Если вы живете здесь, то сами найдете кучу примеров

Алматы – это город-урод. Если вы живете здесь, то сами найдете кучу примеров

Париж, Рим, Барселона, Лондон, Алматы, Венеция – выберите город, который на ваш взгляд кажется лишним в этом списке. Если бы не было слова "урод", было бы легче определиться?
corridere
21 марта 2017 / 14:59
  • 4232
  • 75
Страну, где так строят дороги, победить невозможно!

Страну, где так строят дороги, победить невозможно!

Шестиминутный ролик про строительство автомобильной дороги в США - это как острый нож в пузо нашим чиновникам. Они же подавятся бешбармаком, увидев его! Похлеще любого пропагандистского фильма...
Timur_Tregulov
24 марта 2017 / 11:26
  • 3292
  • 31
Это вам не Дисней. Реальный прототип «Красавицы и Чудовища»

Это вам не Дисней. Реальный прототип «Красавицы и Чудовища»

Многие уверенны на 100%, что сказка «Красавица и Чудовище» - это интересная выдумка ее создателей. Однако, действия, происходящие в мультфильме и фильме, имели место в истории, и у главных героев...
Naomi_K
24 марта 2017 / 18:42
  • 3410
  • 34
Будьте бдительны при покупке цифровой техники! «Наебизнес» в магазинах техники

Будьте бдительны при покупке цифровой техники! «Наебизнес» в магазинах техники

Покупая бытовую технику в магазинах будьте внимательны. Сейчас практикуется впаривание дополнительных услуг по настройке. Прежде чем оформлять, проверьте суммы и уточните у манагеров если что-то не сходится.
dr_Motor
20 марта 2017 / 2:13
Посчитав сколько я смогу сэкономить на еде, я понял, что это очень приличная сумма

Посчитав сколько я смогу сэкономить на еде, я понял, что это очень приличная сумма

Именно сейчас я начинаю понимать, как себя чувствуют иногородние студенты, которые живут общежитиях у нас в Алматы. Я не говорю, что они живут плохо, но многие из них рассчитывают только на свои...
noyanovmyras
23 марта 2017 / 0:18
  • 2737
  • 59