在Apache和Dovecot中使用OpenSSL(2)

在这篇文章中，CarlaSchroder解释了如何使用OpenSSL来保护您的Postfix/Dovecot邮件服务器。上周，作为我们OpenSSL系列的一部分，我们学习了如何配置Apache以使用OpenSSL并强制所有会话使用HTTPS。今天我们将使用OpenSSL保护我们的Postfix/Dovecot邮件服务器。这些示例建立在以前的教程之上；请参阅***的参考资料部分以获取本系列中所有先前教程的链接。您需要配置Postfix和Dovecot以使用OpenSSL，我们将使用我们在使用OpenSSL与Apache和Dovecot(1)中创建的密钥和证书。Postfix配置您必须编辑/etc/postfix/main.cf和/etc/postfix/master.cf。实例的main.cf是完整的配置，基于我们之前的教程。替换为您自己的OpenSSL密钥和证书名称以及本地网络地址。compatibility_level=2smtpd_banner=$myhostnameESMTP$mail_name(Ubuntu/GNU)biff=noappend_dot_mydomain=nomyhostname=localhostalias_maps=hash:/etc/aliasesalias_database=hash:/etc/aliasesmyorigin=$myhostnamemyne??tworks=127.0.0.0/8[::ffff:127.0.0.0]/104[::1]/128192.168.0.0/24mailbox_size_limit=0recipient_delimiter=+inet_interfaces=allvirtual_mailbox_domains=/etc/postfix/vhosts.txtvirtual_mailbox_base=/home/vmailvirtual_mailbox_maps=hash:/etc/postfix/vmaps.txtvirtual_=minimum_uiduidstatic:5000virtual_gid_maps=static:5000virtual_transport=lmtp:unix:private/dovecot-lmtpsmtpd_tls_cert_file=/etc/ssl/certs/test-com.pemsmtpd_tls_key_file=/etc/ssl/private/test-com.keysmtpd_use_tls=yessmtpd_sasl_auth_enable=yessmtpd_sasl_type=dovecotsmtpd_sasl_path=private/authsmtpd_sasl_authenticated_header=yesinmaster.cf取消提交inet部分的注释，并编辑smtpd_recipient_restrictions：#submissioninetn-y--smtpd-osyslog_name=postfix/submission-osmtpd_tls_security_level=encrypt-osmtpd_sasl_auth_enable=yes-omilter_macro_daemon_name=ORIGINATING-osmtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject-osmtpd_tls_wrappermode=yes-omilter_macro_daemon_name=Originating-osmtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject-osmtpd_tls_wrappermode=noAftercreatingasingleDovetutorialcotconfigurationin$sudoservicepostfixreloadDoveis在dovecot/dovecot.conf中配置，而不是使用多个默认配置文件这是基于我们之前教程的完整配置。同样，使用您自己的OpenSSL密钥和证书，以及您自己的userdb主文件：protocols=imappop3lmtplog_path=/var/log/dovecot.loginfo_log_path=/var/log/dovecot-info.logdisable_plaintext_auth=nomail_location=maildir:~/.Mailpop3_uidl_format=%gauth_mechanisms=plainpassdb{driver=passwd-fileargs=/etc/dovecot/passwd}userdb{driver=staticargs=uid=vmailgid=vmailhome=/home/vmail/studio/%u}servicelmtp{unix_listener/var/spool/postfix/私人/dovecot-lmtp{group=postfixmode=0600user=postfix}}protocollmtp{postmaster_address=postmaster@studio}servicelmtp{user=vmail}serviceauth{unix_listener/var/spool/postfix/private/auth{mode=0660user=postfixgroup=postfix}}ssl=requiredssl_cert=2502.1.0Okrcptto:2502.1.5Okdata354Enddatawith.subject:TLS/SSLtestHello,wearetestingTLS/SSL.Lookinggoodsofar..2502.0.0Ok:queuedasB9B529FE59quit2212.0.0Bye你应该YoucanseeanewemailinyourmailclientandaskyoutoverifyyourSSLcertificatewhenyouopenit.Youcanalsouseopenssls_clienttotestDovecot'sPOP3andIMAPservices.此示例测试加密的POP3，消息编号5是我们在telnet中创建的（上面）：$openssls_client-connectstudio:995CONNECTED(00000003)[massesofoutputsnipped]Verifyreturncode:0(ok)---+OKDovecotreadyuseralrac@studio+OKpasspassword+OKLoggedin.list+OK5messages:14992504351445135565.retr5+OK565octetsReturn-Path:Delivered-To:alrac@studioReceived:fromlocalhostbystudio.alrac.net(Dovecot)withLMTPidy8G5C8aablgKIQAAYelYQAfor;Thu,05Jan201711:13:10-0800Received:fromstudio(localhost[127.0.0.1])bylocalhost(Postfix)withESMTPSidB9B529FE59for;Thu,5Jan201711:12:13-0800(PST)subject:TLS/SSLtestMessage-Id:<201701051991249。>日期：2017年1月5日星期四11:12:13-0800（太平洋标准时间）来自：carla@domain.com你好，wearetestingTLS/SSL.Lookinggoodsofar..quit+OKLoggingout.closed现在怎么办？现在您也有一个运行良好的TLS/SSL安全邮件服务器。我鼓励您深入研究Postfix和Dovecot；这些教程中的示例尽可能简单，不包括对安全性、防病毒扫描程序、垃圾邮件过滤器或任何其他高级功能的调整。我认为当你有一个基本的工作系统时，学习高级功能会更容易。下周回到openSUSE包管理备忘单。Apache和Dovecot使用OpenSSL的资源如何在UbuntuLinux上构建电子邮件服务器在UbuntuLinux上构建电子邮件服务器：第2部分在UbuntuLinux上构建电子邮件服务器：第3部分第2部分在CentOSLinux上为初学者使用Apache消除可怕的Web浏览器SSL警告