Nous allons dans ce tutoriel vous expliquer comment configurer votre serveur Postfix (SMTPs) pour utiliser la cryptographie TLS / SSL avec STARTTLS.
L'objectif de la mise en place du SMTPs sur Postfix est de chiffrer la session afin d'éviter toute interception de données lors de l'envoi / réception d'un e-mail par SMTP.
Le port qui sera utilisé par Postfix pour le SMTPs sera le port 587 (port par défaut pour un SMTP sécurisé) via une cryptographie TLS (protocole remplaçant le SSL : obsolète)
1. Quelle adresse doit être sécurisée par Postfix ?
Vous devez sécuriser l'adresse déclarée dans le champ MX de votre zone DNS. Récupérez le nom d'hôte SMTP via la commande ci-dessous (avec cmd par un Terminal) :
L'adresse "mail.wistee.fr" devra être sécurisé avec un certificat SSL. C'est ce nom d'hôte qui doit être spécifié comme serveur SMTP sur votre outil de messagerie.
C'est également sur cette adresse que le serveur SMTP distant établira la connexion avec votre serveur Postfix.
2. Acheter un certificat SSL pour sécuriser Postfix
Important : Acheter un certificat SSL valide est indispensable pour que le serveur SMTP de l'expéditeur puisse vous délivrer un e-mail et pour que vous puissiez en envoyer.Si le certificat SSL n'est pas reconnu (auto-signé), la connexion à votre serveur ne pourra donc pas être établie et des e-mails peuvent ne pas vous être délivrés.
Cliquez ici pour acheter un certificat SSL approprié à Postfix (utilisable également sur Dovecot)
3. Configuration de Postfix pour activer le TLS (SMTPs)
Dans un premier temps, il est nécessaire de vérifier si Postfix n'est pas déjà partiellement configuré pour le TLS (généralement dans main.cf).
Exécutez la recherche ci-dessous afin de trouver la configuration Postfix TLS dans le dossier "/etc/postfix".
Ouvrez le fichier de configuration Postfix avec un éditeur de texte (nano ou vi) afin d'y ajouter la configuration Postfix ci-dessous :
Attention : Une analyse globale de la configuration de Postfix est recommandée, car certaines directives complémentaires peuvent être nécessaires selon la version de Postfix.
Wistee décline toute responsabilité en cas de perte d'e-mails suite à une mauvaise configuration.
Notez que si le certificat SSL est acheté chez nous, nous pouvons prendre gratuitement en charge cette configuration (sur Postfix + Dovecot)
Par conséquent, ne prenez pas de risque de perdre des e-mails : N'hésitez pas à contacter nos administrateurs systèmes au 03 44 02 02 15 !
smtp[d]_tls_protocols : Chiffrement TLS pour SMTPs non-obligatoire : Désactive le SSLv2 et SSLv3 (obsolètes) et active le TLS
smtp[d]_tls_mandatory_protocols : Chiffrement TLS pour SMTPs obligatoire : Désactive le SSLv2 et SSLv3 (obsolètes) et active le TLS
smtp[d]_tls_ciphers : Méthode de cryptographie sécurisées pour SMTPs non-obligatoire
smtp[d]_tls_mandatory_ciphers : Méthode de cryptographie sécurisées pour SMTPs obligatoire
smtp[d]_tls_security_level : La valeur may (peut) permet d'activer STARTTLS. Le TLS ne sera pas obligatoire (important : surtout pour le SMTP entrant)
tls_high_cipherlist : Définies les méthodes de cryptographie sécurisées.
smtpd_tls_cert_file : Spécifiez le chemin vers la chaine de certification complète de votre certificat SSL (bundle) que Wistee vous a envoyé.
smtpd_tls_key_file : Spécifiez le chemin vers la clé privée associée au certificat SSL de votre hôte SMTP que vous avez généré pour acheter votre certificat SSL.
smtpd_tls_CAfile : Spécifiez le chemin vers le certificat SSL intermédiaire que Wistee vous a envoyé.
Il ne vous reste plus qu'à redémarrer Postfix pour appliquer ces modifications (service postfix restart ou /etc/init.d/postfix restart)
4. Tester la connexion à Postfix avec TLS (SMTPs) :
Si la connexion TLS avec Postfix s'est établie correctement, vous devez voir le protocole (idéalement TLS v1.2) et la méthode de cryptographie utilisées :
Sachez que si le certificat SSL est commandé chez Wistee, nous pouvons nous occuper gratuitement de l'installation du certificat SSL sur Postifx + Dovecot.
L'installation du SSL sur Postfix + Dovecot s'effectue par téléphone et via une prise de contrôle à distance de poste à l'aide de TeamViewer.
Ne prenez pas de risque de perdre des e-mails : N'hésitez pas à nous appeler au 03 44 02 02 15 pour toute aide à l'installation !