Поштовий сервер Postfix та самопідписні SSL-сертифікати

Вже замучився налаштовувати свій поштовий сервер Postfix, але ще не настільки щоб відмовитись від нього на користь сторонніх сервісів.

Postfix 2.10 я ставлю на CentOS 7.1.

Прочитав купу туторіалів, де використовуються або самопідписні SSL-сертифікати, або підтвердженні відповідними центрами видачі сертифікатів. Із підтвердженими сертифікатами все зрозуміло — коли вони є, то пошта більш безпечна, і твій сервер краще сприймають інші сервери.

А як бути із самопідписними SSL-сертифікатами? Оскільки Postfix це SMTP-сервер, то чи зможе він без проблем відправляти пошту?

Взагалі то, це можна перевірити в якості експеримента, але мене цікавить «може хто інший вже так робив, і що із того вийшло».

В DNS прописав MX, SPF, DKIM.

Ну і зовсім було б добре, якщо б хтось підказав де можна прочитати хорошу публікацію по налаштуванню CentOS + Postfix + Dovecot, і якийсь хороший центр видачі SSL-сертифікатів.

UPD: цитата із документації Postfix

Because you sign your own Postfix public key certificate, you get TLS encryption but no TLS authentication. This is sufficient for testing, and for exchanging email with sites that you have no trust relationship with. For real authentication, your Postfix public key certificate needs to be signed by a recognized Certification Authority, and Postfix needs to be configured with a list of public key certificates of Certification Authorities, so that Postfix can verify the public key certificates of remote hosts

Тобто мабуть на цьому тему із самопідписними сертифікатами можна не продовжувати.

Залишається лише питання про хороші й разом із тим не дорогі центри сертифікації. Хоча Let’s Encrypt може вже скоро підтягнеться...

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

Теми: Postfix, SSL

Ctrl + Enter

anonymous 21.11.2015 12:36

Відповісти

Підтримати

anonymous 21.11.2015 13:11

anonymous

anonymous 21.11.2015 13:24

Ihor Vorotnov Rockstar Senior Software Solutions Engineer в Ihor Vorotnov, PE 21.11.2015 12:32

1. Скоро буде Let’s Encrypt. Є безкоштовний StartSSL.
2. Поки його немає, або не підходить StartSSL (він геморний) — раджу в NameCheap придбати Comodo PositiveSSL (domain verification). Повна вартість $9/рік, якщо придбати в них домен (або трансфер зробити), то до нього SSL йде всього за $1.99. Навіть за $9 — це дуже адекватно.
3. Генеруєте CSR на сервері, купуєте сертифікат, підключаєте на сервері.
4. Налаштовуєте коректно SPF, DKIM.
5. Все працює.

По налаштуванню — на Digital Ocean є непогані тюторіали, заходьте в розділ Community та шукаєтся по слову postfix.

anonymous 21.11.2015 12:37

Ihor Vorotnov

Ihor Vorotnov Rockstar Senior Software Solutions Engineer в Ihor Vorotnov, PE 21.11.2015 12:45

Так, тому я й написав, що він геморний. Особисто я користуюсь нормальними сертифікатами від Comodo. Ми вже імплементували в себе HTTP/2 (до жовтня цього року досить довгий час були на SPDY) на наших серверах, тому питання нормальних сертифікатів вирішили давно і однозначно.

Stas Koval 21.11.2015 13:33

тут Comodo PositiveSSL (domain verification) за 172грн www.ukrnames.com/...erts/ssl_certificates.jsp

anonymous 21.11.2015 13:38

Stas Koval

Oleksandr Shevchuk Linux Administrator 21.11.2015 10:42

таємний алгоритм налаштування поштового сервера виглядає так:
1. гуглиш how to setup mail server CentOS 7, вибираєш що подобається, робиш все по інструкції
2. відправляєш тестові листи, аж поки вони не переконаєшся, що вони покидають сервер. проблеми будуть, але на цьому етапі ще не треба писати на DOU, дивишся поштові логи і відповідно відкриваєш порти, правиш конфіги і все таке
3. коли листи почнуть покидати сервер, ідеш на www.mail-tester.com і робиш все згідно рекомендацій, поки не доб’єшся 8/10.

А загалом, якщо у тебе задача просто відправляти якісь сповіщення, то тобі на mailgun.com

anonymous 21.11.2015 10:58

Oleksandr Shevchuk

anonymous 21.11.2015 11:10

Oleksandr Shevchuk Linux Administrator 21.11.2015 11:13

так куди твоя пошта не доставляється?

anonymous 21.11.2015 11:14

Valentin Nechayev уповноважений по милицях в Дарницькі печери 21.11.2015 09:41

Сертификация отправителя имеет смысл только в том случае, если для домена настроена SPF policy или аналог со смыслом “доверять только подписанному отправителю”, но тогда вопрос в смысле самой такой полиси. С ней вы не сможете отправить письмо в любом роуминге не через этот сервер. Уверены?

Mike Mln 20.11.2015 21:22

Есть такой манул в трех частях, только под Ubuntu, настройка, генерация сертификатов и т.д.
maddog.sitengine.ru/post/1138.html
Есть отличные статьи на www.lissyara.su/articles/freebsd но под FreeBSD, зато много чего полезного.

p.s. А вам почтовик для каких целей нужен если не секрет ?

anonymous 21.11.2015 07:28

Mike Mln

anonymous 20.11.2015 19:51

Рекомендую глянути на rtcamp.com/easyengine
По суті це консольний ISP-manager, який крім того, що дозволяє легко створювати віртуальні хости, out of the box вміє ставити postfix + веб-морду до нього у вигляді Roundcube Webmail.

Я свого часу ставив — працює нормально. Але треба бути уважним — в разі яких проблем сервер може лягти і можна пропустити важливий лист. Сертифікат ставив самопідписаний, критичним проблем не помітив.

Oleg Mykolaichenko Head of DevOps в SQUAD 20.11.2015 19:03

Самопідписні сертифікати — лажа. На всіх сторонніх сервісах твої листи будуть потрапляти в спам (якщо взагалі дійдуть).

anonymous 20.11.2015 19:08

Oleg Mykolaichenko

Ihor Vorotnov Rockstar Senior Software Solutions Engineer в Ihor Vorotnov, PE 21.11.2015 12:36

Практикував. Самопідписні все таки в реальності часто падають в спам. Gmail, Yandex, Mail.ru та подібні сервіси частіше за все приймають нормально (але не 100%), а от корпоративні всякі — дуже, дуже часто ріжуть. З нормальним сертифікатом все працює. Де його взяти за адекватні гроші — дивіться мою відповідь вище.

anonymous 21.11.2015 12:39

Ihor Vorotnov Rockstar Senior Software Solutions Engineer в Ihor Vorotnov, PE 21.11.2015 12:51

Я про те й кажу. З самопідписним в теорії все повинно працювати, сертифікат дійсно йде для шифрування. І на практиці, популярні поштові сервери нормально приймають ваші листи, якщо все коректно налаштовано і IP не числиться в сірих/чорних базах. Однак, багато корпоративних серверів налаштовуються супермегаадмінами-параноїками, які крутять гайки так, як їм хочеться, не завжди розуміючи наслідки. Тому листи с сервера з самопідписаним сертифікатом мають шанс бути відфільтрованими (і часто так відбувається, я оперую реальним досвідом). З нормальним сертифікатом листи проходят без проблем, за виключенням зовсім параноїдальних серваків. 100% гарантії доставки листів в інбокс не дасть навіть MailChimp / Mailgun / Mandrill / Sendgrid та інші подібні сервіси.

anonymous 21.11.2015 12:55

anonymous 21.11.2015 12:32

Volodymyr Portianko Java Developer \ Angular Developer 20.11.2015 18:50

Для личного почтового сервера достаточно будет самоподписанного сертификата. Его задача шифровать передачу данных своим ключом. Это не веб-сайт, тут проверки на доверие по сертификату не делаются.
Для того, что бы тебе доверяли другие MTA, нужно настроить spf, A и PTR записи.

anonymous 20.11.2015 19:03

Volodymyr Portianko

Volodymyr Portianko Java Developer \ Angular Developer 20.11.2015 21:19

Я администратор почтовых систем. Собственно ниже вы ответ и написали. Сертификат используется только для шифрования SMTP протокола. Вы можете его использовать для авторизации с партнерскими компаниями к примеру..но у вас точно это не будет использоваться.

anonymous 21.11.2015 07:42

Volodymyr Portianko Java Developer \ Angular Developer 21.11.2015 09:30

Тебе нужно открыть из мира порт, который слушает твой MTA, что бы к тебе могли конектится другие сервера и пересылать почту на твой домен. (в котором прописана твоя MX запись) По-умолчанию это 25 порт, если ты ничего не менял — нужно открыть его.

anonymous 20.11.2015 19:33

Stas Koval 20.11.2015 18:39

Поштовий сервер Postfix та самопідписні SSL-сертифікати

31 коментар

Підписатись на коментарі