- 03 44 02 02 15appel non surtaxé
- support@wistee.fr
-
-
Obtenez la barre d'adresse verte (EV)
- Sécurisez votre site en https://
- Barre URL verte + nom de votre société
- Cadenas + Sceau de sécurité (logo "Site Sécurisé")
- Rassurez vos clients et augmentez vos ventes
A partir de
199 € HT / an
-
-
-
- Essai Gratuit
- Contact
Installer un certificat SSL sur Postfix (SMTPs)
Nous allons dans ce tutoriel vous expliquer comment configurer votre serveur Postfix (SMTPs) pour utiliser la cryptographie TLS / SSL avec STARTTLS.
L'objectif de la mise en place du SMTPs sur Postfix est de chiffrer la session afin d'éviter toute interception de données lors de l'envoi / réception d'un e-mail par SMTP.
Le port qui sera utilisé par Postfix pour le SMTPs sera le port 587 (port par défaut pour un SMTP sécurisé) via une cryptographie TLS (protocole remplaçant le SSL : obsolète)
1. Quelle adresse doit être sécurisée par Postfix ?
Vous devez sécuriser l'adresse déclarée dans le champ MX de votre zone DNS. Récupérez le nom d'hôte SMTP via la commande ci-dessous (avec cmd par un Terminal) :
nslookup -type=MX wistee.fr Server: 8.8.4.4 Address: 8.8.4.4#53 Non-authoritative answer: wistee.fr mail exchanger = 10 mail.wistee.fr.
L'adresse "mail.wistee.fr" devra être sécurisé avec un certificat SSL. C'est ce nom d'hôte qui doit être spécifié comme serveur SMTP sur votre outil de messagerie.
C'est également sur cette adresse que le serveur SMTP distant établira la connexion avec votre serveur Postfix.
2. Acheter un certificat SSL pour sécuriser Postfix
Si le certificat SSL n'est pas reconnu (auto-signé), la connexion à votre serveur ne pourra donc pas être établie et des e-mails peuvent ne pas vous être délivrés.
Cliquez ici pour acheter un certificat SSL approprié à Postfix (utilisable également sur Dovecot)
3. Configuration de Postfix pour activer le TLS (SMTPs)
Dans un premier temps, il est nécessaire de vérifier si Postfix n'est pas déjà partiellement configuré pour le TLS (généralement dans main.cf).
Exécutez la recherche ci-dessous afin de trouver la configuration Postfix TLS dans le dossier "/etc/postfix".
grep -R "_tls_" /etc/postfix
Ouvrez le fichier de configuration Postfix avec un éditeur de texte (nano ou vi) afin d'y ajouter la configuration Postfix ci-dessous :
Attention : Une analyse globale de la configuration de Postfix est recommandée, car certaines directives complémentaires peuvent être nécessaires selon la version de Postfix.
Wistee décline toute responsabilité en cas de perte d'e-mails suite à une mauvaise configuration.
Notez que si le certificat SSL est acheté chez nous, nous pouvons prendre gratuitement en charge cette configuration (sur Postfix + Dovecot)
Par conséquent, ne prenez pas de risque de perdre des e-mails : N'hésitez pas à contacter nos administrateurs systèmes au 03 44 02 02 15 !
# smtpd : SMTP entrant
smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtpd_tls_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtpd_tls_mandatory_ciphers = high
smtpd_tls_security_level = may
# smtp : SMTP sortant
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtp_tls_mandatory_ciphers = high
smtp_tls_security_level = may
# Définies les méthodes de cryptographie à utiliser (HIGH)
tls_high_cipherlist = HIGH:!aNULL:!MD5:!ADH:!RC4:!DH
# Charge le certificat SSL de votre serveur SMTP
smtpd_tls_cert_file = /etc/ssl/mail.wistee.fr/autres-formats/mail.wistee.fr.pem
smtpd_tls_key_file = /etc/ssl/mail.wistee.fr/wildcard-wistee-fr.key
smtpd_tls_CAfile = /etc/ssl/mail.wistee.fr/ThawteRSACA2018.cer
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp[d]_tls_protocols : Chiffrement TLS pour SMTPs non-obligatoire : Désactive le SSLv2 et SSLv3 (obsolètes) et active le TLS
smtp[d]_tls_mandatory_protocols : Chiffrement TLS pour SMTPs obligatoire : Désactive le SSLv2 et SSLv3 (obsolètes) et active le TLS
smtp[d]_tls_ciphers : Méthode de cryptographie sécurisées pour SMTPs non-obligatoire
smtp[d]_tls_mandatory_ciphers : Méthode de cryptographie sécurisées pour SMTPs obligatoire
smtp[d]_tls_security_level : La valeur may (peut) permet d'activer STARTTLS. Le TLS ne sera pas obligatoire (important : surtout pour le SMTP entrant)
tls_high_cipherlist : Définies les méthodes de cryptographie sécurisées.
smtpd_tls_cert_file : Spécifiez le chemin vers la chaine de certification complète de votre certificat SSL (bundle) que Wistee vous a envoyé.
smtpd_tls_key_file : Spécifiez le chemin vers la clé privée associée au certificat SSL de votre hôte SMTP que vous avez généré pour acheter votre certificat SSL.
smtpd_tls_CAfile : Spécifiez le chemin vers le certificat SSL intermédiaire que Wistee vous a envoyé.
Il ne vous reste plus qu'à redémarrer Postfix pour appliquer ces modifications (service postfix restart ou /etc/init.d/postfix restart)
4. Tester la connexion à Postfix avec TLS (SMTPs) :
openssl s_client -connect mail.wistee.fr:25 -starttls smtp
Si la connexion TLS avec Postfix s'est établie correctement, vous devez voir le protocole (idéalement TLS v1.2) et la méthode de cryptographie utilisées :
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 35B1144D0F8C8AA189931B1C12D5F564197BD7EC4BCC7653628957E9E892BFEC
[...]
Sachez que si le certificat SSL est commandé chez Wistee, nous pouvons nous occuper gratuitement de l'installation du certificat SSL sur Postifx + Dovecot.
L'installation du SSL sur Postfix + Dovecot s'effectue par téléphone et via une prise de contrôle à distance de poste à l'aide de TeamViewer.
Ne prenez pas de risque de perdre des e-mails : N'hésitez pas à nous appeler au 03 44 02 02 15 pour toute aide à l'installation !
Wistee ® distribue les certificats SSL des marques
Symantec ™, Thawte ™, GeoTrust ® et GlobalSign ®
Bénéficiez des conseils de nos experts en sécurité SSL pour l'achat d'un certificat SSL au meilleur prix et de nos administrateurs systèmes pour l'installation du SSL.
Informations
Nos offres
Certificats SSL
