место в рейтинге
  • 1078305
  • 683
  • 86
Нравится блог?
Подписывайтесь!

Включение TLS/SSL в Postfix, Dovecot и RoundCube

В этой короткой записке описано о включении защищенного протокола в следующих программах/интерфейсе:

1. SMTP сервере Postfix

2. POP3/IMAP сервере Dovecot

3. Web интерфейс RoundCube

Будем двигаться по следующей последовательности:

- Сперва создадим сертификаты по которым будет происходит шифрованное соединение

- Настроим Postfix

- Настроим Dovecot

- Настроим RoundCube

 

Создаем само подписанные сертификаты

Первым делом надо создать само подписанные сертификаты:

# mkdir /etc/postfix/certs

# openssl req -new -x509 -days 3650 -nodes -out /etc/postfix/certs/cert.pem -keyout /etc/postfix/certs/key.pem

 

Настройка

А теперь уже можно настраивать Postfix, Dovecot и RoundCube

 

SMTP сервер Postfix

Открываем файл /etc/postfix/main.cf и добавляем в него настройки (обычно стоят возле smtpd_sasl)

###################TLS######################

smtpd_use_tls = yes

smtp_tls_security_level = may

smtpd_tls_security_level = may

smtpd_tls_loglevel = 1

smtpd_tls_received_header = yes

smtpd_tls_session_cache_timeout = 3600s

smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache

smtpd_tls_key_file = /etc/postfix/certs/key.pem

smtpd_tls_cert_file = /etc/postfix/certs/cert.pem

tls_random_source = dev:/dev/urandom

###################TLS######################

Открываем файл /etc/postfix/master.cf и находим строчку и раскомментируем ее:

smtps     inet  n       -       n       -       -       smtpd

А также добавим в конец файла:

submission inet n       -       n       -       -       smtpd

-o syslog_name=postfix/submission

-o smtpd_tls_wrappermode=no

-o smtpd_tls_security_level=encrypt

-o smtpd_sasl_auth_enable=yes

-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination

-o milter_macro_daemon_name=ORIGINATING

Настроим Dovecot
Отрываем файл /etc/dovecot/dovecot.conf и добавляем строчки:

ssl = yes

ssl_cert = </etc/postfix/certs/cert.pem

ssl_key = </etc/postfix/certs/key.pem

А также вписываем:

service imap-login {

executable = /usr/libexec/dovecot/imap-login

inet_listener imap {

address = *

port = 143

}

inet_listener imaps {

port = 993

ssl = yes

}

}

service imap {

executable = /usr/libexec/dovecot/imap

}

service pop3-login {

executable = /usr/libexec/dovecot/pop3-login

inet_listener pop3 {

address = *

port = 110

}

inet_listener pop3s {

port = 995

ssl = yes

}

}

Настроим RoundCube
Открываем файл /var/www/html/roundcube/config/main.inc.php
В нем находим строчки и меняем их значения на:
$rcmail_config['default_host'] = 'ssl://10.168.50.2:993';
$rcmail_config['force_https'] = true;
Здесь можно вписать доменное имя или IP адрес почтового сервера.
Настройка фаервола
Когда будете настраивать сетевой брандмаэр, откройте следующие порты:

- стандартные без шифрования:

578 -  SMTP (Submission)
143 -  IMAP
110 -  POP3
25 -  SMTP

- стандартные с шифрованием:

IMAP — 143 (при использовании шифрования STARTTLS) и 993 (при использовании шифрования SSL/TLS)  
POP3 — 995 (с шифрованием)  
SMTP — 465 (с шифрованием).

 

Настройки виртуального хоста для веб интерфейса RoundCube

Создаем файл /etc/httpd/conf.d/rc.conf

<Virtualhost mail.point.local:443>

ServerName mail.point.local

ServerAdmin admin@point.local

DocumentRoot "/var/www/html/roundcube/"

SSLEngine on

SSLCertificateFile /etc/postfix/certs/cert.pem

SSLCertificateKeyFile /etc/postfix/certs/key.pem

# Поскольку roundcube написан на PHP и мы

# не предполагаем запуск чего-либо кроме PHP скриптов

# на этом виртуалхосте, то на всякий случай отключаем CGI

# и запрещаем изменение параметров ./htaccess'ом

<Directory "/var/www/html/roundcube/">

Options -ExecCGI

AllowOverride None

SSLRequireSSL

</Directory>

# Запрещаем PHP скриптам выходить за пределы

# директории виртуалхоста

php_admin_value open_basedir /var/www/html/roundcube

php_admin_value safe_mode_include_dir /var/www/html/roundcube

#php_admin_value safe_mode_exec_dir /noexec

php_admin_value doc_root /var/www/html/roundcube

php_admin_value upload_tmp_dir /var/www/html/roundcube/temp

php_admin_value session.save_path /var/www/html/roundcube/temp

 

# Логирование

ErrorLog /var/log/httpd/roundcube-error.log

TransferLog /var/log/httpd/roundcube-access.log

</Virtualhost>

 

Теперь в браузере можно ввести: https://mail.point.local

Almas AkeHayc
Пишу для себя, блог как записная книжка. Со временем все забывается, а у меня оно все в бложике. Будьте упертым глухим и веселым бегемотиком :)
9 января 2014, 23:43
9164

Загрузка...
Loading...

Комментарии

Добрый день. Применил данный способ к статье akehayc.yvision.kz В сети не видит mail.point.local Выйдите в скайп.
При отправке письма: ошибка о невозможности соединиться с mx.point.local
С Уважением
Также ThunderBird показывает автоматические настройки с STARTTLS через порты 110 и 25.
При выборе SSL/TLS и портов 995 и 465 соединение не устанавливается.
Расскоментируй строчки в master.cf

-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

В Outlook надо указать тип шифрования - SSL
Порт 995 IMAP
Порт 993 POP
Порт 465 SMTP
что в firewall добавить? открываю порт 443 - вебинтерфейс доступен в сети, письма не отправляются.
Согласно статье стоит -o smtpd_tls_wrappermode=no
SMTP можешь выбрать порт 587, он работает в двух режимах шифрованный и не шифрованный.
Кстати, клиент Thunderbird у меня по IMAPS протоколу не заработал, не работает он с само-подписанными сертификатами.
roundcube не хочет отправлять письма, в installer отправляет
и postfixadmin не отправляет
в службах указано, что postfix не работает
IMAP работает и на 143 и на 995 порту. SMTP не работает
Посмотри логи, там должна быть разгадка)
Можешь через TimeViewer посмотреть? Какие настройки сетевой карты прописать для доступа?
Данные для подключения скинул в скайп. Все настройки SSL удалил, оставил сервер в состоянии после этой статьи akehayc.yvision.kz
Могу посмотреть, может и помогу.
Добрый день. Отправил на Skype информацию для доступа
Вчера времени не было посмотреть, давай сегодня.

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Нет ничего более вдохновляющего, чем видеть стада сайгаков. Не зря их называют «киелі»

Нет ничего более вдохновляющего, чем видеть стада сайгаков. Не зря их называют «киелі»

В начале 2000-х годов в уральской популяции оставалось только 2500 сайгаков. Сейчас благодаря охране от браконьеров их численность выросла до 100 тысяч.
theYakov
17 июля 2017 / 17:55
  • 8889
  • 3
Ресторанный консенсус в Казахстане: мужчина платит всегда

Ресторанный консенсус в Казахстане: мужчина платит всегда

Ресторанный консенсус в этой стране таков, что если речь идет именно о свидании, то оплачивает его на 100% из 100 именно мужчина. Пытаться его расшатать - это достаточно дорогое удовольствие.
convoluted
17 июля 2017 / 15:32
Решили рискнуть и обратиться к риэлторам. И этим людям мы доверяем свой ночлег?

Решили рискнуть и обратиться к риэлторам. И этим людям мы доверяем свой ночлег?

Звоним риэлтору, говорим, верните наши 15 000 тг, так как ваша клиентка нас кинула. По его словам, он вернуть деньги больше не может. Не имеет право.
decorus
17 июля 2017 / 14:48
  • 3194
  • 15
Польша – страна простых решений. Почему они смогли, а мы еще нет?

Польша – страна простых решений. Почему они смогли, а мы еще нет?

В Польше вообще очень много понятного и простого – инфраструктура, коммуникации и дороги прежде всего, льготы в образовании, поляки вообще получают его бесплатно. А урожай побольше нашего.
Shimanskaya
17 июля 2017 / 16:08
  • 3334
  • 37
«Алматы – город, летящий под откос», или Кто заказал утку у российского блогера

«Алматы – город, летящий под откос», или Кто заказал утку у российского блогера

Некий блогер Сергей Никитский неустанно пишет о Казахстане, Астане, Экспо и посвящает два материала Алматы, причём подчёркнуто называет город Алма-Ата.
Langdon
19 июля 2017 / 15:44
  • 3333
  • 56
«Язык мой – враг мой», или 7 причин никогда не разговаривать с полицией

«Язык мой – враг мой», или 7 причин никогда не разговаривать с полицией

На этот раз пост очень важный и необходим к прочтению каждым! Не поленитесь и уделите время прочтению. Ни в коем случае, не разговаривайте с полицейскими до прихода вашего адвоката!
asselsabekova
18 июля 2017 / 14:19
  • 3066
  • 31
Один из способов выиграть суд против коллекторов

Один из способов выиграть суд против коллекторов

Сегодня в своем посте я постараюсь рассказать, как выиграть суд против некоторых коллекторских компании в нашей стране. Чем отличается коллекторское агенство от обычного банка?
Advokot
18 июля 2017 / 15:31
  • 2921
  • 10
Книга, которая сэкономит вам 150 тысяч долларов и два года жизни

Книга, которая сэкономит вам 150 тысяч долларов и два года жизни

Автор утверждает, что программы МБА не дают никакого позитивного выхлопа, если ты уже не являешься владельцем или наследником прибыльного бизнеса. Знания МБА можно получить бесплатно, уверяет он.
Aks_Ras
19 июля 2017 / 16:28
  • 2496
  • 2
Госорганы, ответственные за жизни детей, хранят молчание. У них в отчетах все хорошо

Госорганы, ответственные за жизни детей, хранят молчание. У них в отчетах все хорошо

Вчера все информационные агентства страны передали сообщение, которое заставило забиться в ужасе сердца всех матерей страны. В мусорном контейнере города Сатпаев было обнаружено тело новорожденной девочки.
AliyaSadyrbaeva
19 июля 2017 / 11:06
  • 2228
  • 18