Поштовий сервер Postfix та самопідписні SSL-сертифікати

Вже замучився налаштовувати свій поштовий сервер Postfix, але ще не настільки щоб відмовитись від нього на користь сторонніх сервісів.

Postfix 2.10 я ставлю на CentOS 7.1.

Прочитав купу туторіалів, де використовуються або самопідписні SSL-сертифікати, або підтвердженні відповідними центрами видачі сертифікатів. Із підтвердженими сертифікатами все зрозуміло — коли вони є, то пошта більш безпечна, і твій сервер краще сприймають інші сервери.

А як бути із самопідписними SSL-сертифікатами? Оскільки Postfix це SMTP-сервер, то чи зможе він без проблем відправляти пошту?

Взагалі то, це можна перевірити в якості експеримента, але мене цікавить «може хто інший вже так робив, і що із того вийшло».

В DNS прописав MX, SPF, DKIM.

Ну і зовсім було б добре, якщо б хтось підказав де можна прочитати хорошу публікацію по налаштуванню CentOS + Postfix + Dovecot, і якийсь хороший центр видачі SSL-сертифікатів.

UPD: цитата із документації Postfix

Because you sign your own Postfix public key certificate, you get TLS encryption but no TLS authentication. This is sufficient for testing, and for exchanging email with sites that you have no trust relationship with. For real authentication, your Postfix public key certificate needs to be signed by a recognized Certification Authority, and Postfix needs to be configured with a list of public key certificates of Certification Authorities, so that Postfix can verify the public key certificates of remote hosts

Тобто мабуть на цьому тему із самопідписними сертифікатами можна не продовжувати.

Залишається лише питання про хороші й разом із тим не дорогі центри сертифікації. Хоча Let’s Encrypt може вже скоро підтягнеться...

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

У меня настроен Postfix+SSL+SPF+DKIM на CentOS 7. Совсем не в качестве эксперимента :) Все работает ! На самоподписных сертификатах — единственное неудобство: при первом коннекте почтовый клиент выдавал предупреждение о невозможности проверить сертификат, я ему тыцьнул «написаному верить» и все! Пиши — поможем!

У мене відкриті так я сервер реальний — тобі не треба ...

1. Скоро буде Let’s Encrypt. Є безкоштовний StartSSL.
2. Поки його немає, або не підходить StartSSL (він геморний) — раджу в NameCheap придбати Comodo PositiveSSL (domain verification). Повна вартість $9/рік, якщо придбати в них домен (або трансфер зробити), то до нього SSL йде всього за $1.99. Навіть за $9 — це дуже адекватно.
3. Генеруєте CSR на сервері, купуєте сертифікат, підключаєте на сервері.
4. Налаштовуєте коректно SPF, DKIM.
5. Все працює.

По налаштуванню — на Digital Ocean є непогані тюторіали, заходьте в розділ Community та шукаєтся по слову postfix.

безкоштовний StartSSL
нажаль більшість софти не в курсі про цей центр сертифікації ...

Так, тому я й написав, що він геморний. Особисто я користуюсь нормальними сертифікатами від Comodo. Ми вже імплементували в себе HTTP/2 (до жовтня цього року досить довгий час були на SPDY) на наших серверах, тому питання нормальних сертифікатів вирішили давно і однозначно.

таємний алгоритм налаштування поштового сервера виглядає так:
1. гуглиш how to setup mail server CentOS 7, вибираєш що подобається, робиш все по інструкції
2. відправляєш тестові листи, аж поки вони не переконаєшся, що вони покидають сервер. проблеми будуть, але на цьому етапі ще не треба писати на DOU, дивишся поштові логи і відповідно відкриваєш порти, правиш конфіги і все таке
3. коли листи почнуть покидати сервер, ідеш на www.mail-tester.com і робиш все згідно рекомендацій, поки не доб’єшся 8/10.

А загалом, якщо у тебе задача просто відправляти якісь сповіщення, то тобі на mailgun.com

так куди твоя пошта не доставляється?

А як бути із самопідписними SSL-сертифікатами? Оскільки Postfix це SMTP-сервер, то чи зможе він без проблем відправляти пошту?

Сертификация отправителя имеет смысл только в том случае, если для домена настроена SPF policy или аналог со смыслом “доверять только подписанному отправителю”, но тогда вопрос в смысле самой такой полиси. С ней вы не сможете отправить письмо в любом роуминге не через этот сервер. Уверены?

Есть такой манул в трех частях, только под Ubuntu, настройка, генерация сертификатов и т.д.
maddog.sitengine.ru/post/1138.html
Есть отличные статьи на www.lissyara.su/articles/freebsd но под FreeBSD, зато много чего полезного.

p.s. А вам почтовик для каких целей нужен если не секрет ?

Рекомендую глянути на rtcamp.com/easyengine
По суті це консольний ISP-manager, який крім того, що дозволяє легко створювати віртуальні хости, out of the box вміє ставити postfix + веб-морду до нього у вигляді Roundcube Webmail.

Я свого часу ставив — працює нормально. Але треба бути уважним — в разі яких проблем сервер може лягти і можна пропустити важливий лист. Сертифікат ставив самопідписаний, критичним проблем не помітив.

Самопідписні сертифікати — лажа. На всіх сторонніх сервісах твої листи будуть потрапляти в спам (якщо взагалі дійдуть).

Практикував. Самопідписні все таки в реальності часто падають в спам. Gmail, Yandex, Mail.ru та подібні сервіси частіше за все приймають нормально (але не 100%), а от корпоративні всякі — дуже, дуже часто ріжуть. З нормальним сертифікатом все працює. Де його взяти за адекватні гроші — дивіться мою відповідь вище.

Проблема не в сертифікаті а в SPF+DKIM і ще один нюанс hotmail від M$ і його SmartScreen — тут простіше застрілитися ніж довести йому що ти не спамер ! Я вже ІР вносив в їхню базу і тд. Всерівно спам :) На рахунок корпоративних поштовиків — адміни люблять прикрути всякі біло-чорно-сірі списки, вот там треш содом і гомора :)

Я про те й кажу. З самопідписним в теорії все повинно працювати, сертифікат дійсно йде для шифрування. І на практиці, популярні поштові сервери нормально приймають ваші листи, якщо все коректно налаштовано і IP не числиться в сірих/чорних базах. Однак, багато корпоративних серверів налаштовуються супермегаадмінами-параноїками, які крутять гайки так, як їм хочеться, не завжди розуміючи наслідки. Тому листи с сервера з самопідписаним сертифікатом мають шанс бути відфільтрованими (і часто так відбувається, я оперую реальним досвідом). З нормальним сертифікатом листи проходят без проблем, за виключенням зовсім параноїдальних серваків. 100% гарантії доставки листів в інбокс не дасть навіть MailChimp / Mailgun / Mandrill / Sendgrid та інші подібні сервіси.

Бред! SSL важен для соединения сервера с клиентом! Для проверки почтового сервера используется SPF+DKIM. ТыцЬ : mxtoolbox.com/...t._domainkey&run=toolpage И о боже у меня самоподписной сертификат!

Для личного почтового сервера достаточно будет самоподписанного сертификата. Его задача шифровать передачу данных своим ключом. Это не веб-сайт, тут проверки на доверие по сертификату не делаются.
Для того, что бы тебе доверяли другие MTA, нужно настроить spf, A и PTR записи.

Я администратор почтовых систем. Собственно ниже вы ответ и написали. Сертификат используется только для шифрования SMTP протокола. Вы можете его использовать для авторизации с партнерскими компаниями к примеру..но у вас точно это не будет использоваться.

Тебе нужно открыть из мира порт, который слушает твой MTA, что бы к тебе могли конектится другие сервера и пересылать почту на твой домен. (в котором прописана твоя MX запись) По-умолчанию это 25 порт, если ты ничего не менял — нужно открыть его.

Подписаться на комментарии