» Verschlüsselung bei Mail-Kommunikation (0 Kommentare) 03.10.2009 - 02:07 Uhr
Nun ist mein MTA auch endlich mit TLS (Transport Layer Security), dem Quasi-Nachfolger von SSL, ausgestattet und baut die Verbindung mit meinem Mail-Client mittels Zertifikaten auf. Um anderen einige Quälerei beim Suchen zu ersparen, hier einmal kurz niedergeschrieben:
Zunächst wird ein Postfix-Server benötigt. Dieser kann ganz einfach mittels apt-get unter Debian wie gewohnt installiert werden. Dann gehen wir schnell in die Hauptkonfiguration von Postfix und ändern den SMTP-Banner (Ja, ich weiß... Security by obscurity, aber schnell und hilfreich).
[Datei: /etc/postfix/main.conf]
smtpd_banner = Mein toller Mailserver XP
zusätzlich müssen wir noch einen Pfad für unsere Zertifikate abändern.
[Datei: /etc/postfix/main.conf]
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.cert
smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
Nun wandern wir ins Verzeichnis /etc/postfix/sasl/ und generieren mit openssl ein ordentliches RSA-Zertifikat mit sämtlichen Angaben und Lebensdauer. Hier sind, wie immer bei Zertifikaten, mindestens 2048 Bit zu wählen.
openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x509
Generating a 2048 bit RSA private key
.................+++
...................+++
writing new private key to 'smtpd.key'
-----
Country Name (2 letter code) [AU]:DE
Locality Name (eg, city) []:Heimatstadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Webseite/Firma
Organizational Unit Name (eg, section) []:Abteilung
Common Name (eg, YOUR name) []:deinNameOderFirma
Email Address []:KontaktMail
Das war es eigentlich auch schon. Nun reicht es, Postfix einmal neuzustarten und schon kann die Kommunikation beginnen. Zur Info um den Support von TLS zu testen: Einfach mal mit telnet auf Port 25 verbinden und die Funktionen abrufen.
telnet mail.meinserv.er 25
ehlo test
250-mail.meinserv.er
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
...