HOW-TO: postfix cyrus tls encryption

[darzanebor]

создаем в домашней скрипт файл это которая home (люблю команды не руками вбивать  )

nano script

копипастим туда вот это

mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr
openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
openssl rsa -in smtpd.key -out smtpd.key.unencrypted
mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
postconf -e 'smtpd_tls_auth_only = no'
postconf -e 'smtp_use_tls = yes'
postconf -e 'smtpd_use_tls = yes'
postconf -e 'smtp_tls_note_starttls_offer = yes'
postconf -e 'smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key'
postconf -e 'smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt'
postconf -e 'smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem'
postconf -e 'smtpd_tls_loglevel = 1'
postconf -e 'smtpd_tls_received_header = yes'
postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
echo -n > /var/log/mail.info
echo "done";

запускаем из-под sudo

sudo bash script

Отвечаем на вопросы, далее когда видим в конце в консоли done удаляем этот скрипт
перезапускаем postfix

sudo /etc/init.d/postfix restart

наслаждаемся tls

[darzanebor]

Если вы юзаете cyrus как я и хотите tls шифрование для pop imap то делаем следующее
редактируем файл /etc/imapd.conf

sudo nano /etc/imapd.conf

и правим такие строки чтобы они приняли данный вид

было ----> #tls_cert_file: /etc/ssl/certs/ssl-cert-snakeoil.pem
tls_cert_file: /etc/postfix/ssl/smtpd.crt

было -----> #tls_key_file: /etc/ssl/private/ssl-cert-snakeoil.key
tls_key_file: /etc/postfix/ssl/smtpd.key

было -----> что было не помню
tls_ca_file: /etc/postfix/ssl/cacert.pem

перерелоадим конфиг или перезапускаем постфикс

Единственная некрасивая вещ именно некрасивая это то что он будет ругатся на сертификаты которые вы сами создали, ну потому что сами создали а они (браузеры мейлеры) считаю что сертификат сам не делается и по хорошему должен выдаваться сторонней организацией, для тех кому хочется красиво просим сюда CAcert.org бесплатно выдает сертификаты ...