Ce tutoriel vous explique la procédure à suivre afin d'installer un certificat SSL sur Dovecot (Serveur de messagerie POP / IMAP).
Un tutoriel complémentaire vous explique comment utiliser ce même certificat SSL sur Postfix.
Mettre en place une authentification SSL / TLS sur votre serveur de messagerie vous permettra d'utiliser les protocoles IMAPs et POPs
Dans ce tutoriel, nous activerons une authentification TLS (protocole plus sécurisé que SSL). IMAPs utilisera le port 993 et POPs utilisera le port 995.
1. Connaitre l'adresse à sécuriser sur Dovecot
Récupérez l'adresse spécifiée dans le champ MX de la zone DNS de votre nom de domaine en exécutant la commande ci-dessous (via cmd ou via un Terminal) :
Dans notre exemple, l'adresse "mail.wistee.fr" sera l'adresse à sécuriser par un certificat SSL et à renseigner dans le champ POP / IMAP et SMTP du client de messagerie.
Cette adresse pointe en effet vers notre serveur de messagerie via le DNS, et c'est sur cette adresse qu'Outlook, Thunderbird ou Mail... doit établir la connexion sécurisée.
2. Obtenir un certificat SSL valide pour cette adresse
Attention : Utiliser un certificat SSL valide est indispensable. A défaut, votre client de messagerie affichera un avertissement de sécurité et les outils mobiles (iOS et Android) peuvent ne pas pouvoir établir la connexion sécurisée à votre serveur POP / IMAP (Dovecot)Cliquez ici pour obtenir le certificat SSL le moins cher, approprié à Dovecot et Postfix.
3. Configurer Dovecot avec SSL / TLS pour le protocole POPs et IMAPs
Recherchez si une configuration SSL est déjà présente par défaut dans vos fichiers de configuration Dovecot afin la remplacer par une configuration SSL / TLS valide.
La commande ci-dessous va rechercher les paramètres Dovecot liés au SSL / TLS actifs (non commentés) dans le répertoire "/etc/dovecot".
Si des résultats vous sont retournés, éditez le(s) fichier(s) où se trouve la configuration. A défaut, éditez /etc/dovecot/dovecot.conf et placez la configuration suivante :
Cette directive est couramment utilisée par les prestataires informatiques qui hébergent plusieurs clients sur un même serveur de messagerie puisqu'elle permet de pouvoir spécifier le nom de domaine du client en tant que serveur POP / IMAP plutôt que le nom d'hôte du serveur du prestataire.
ssl_cert : Cette directive doit faire appel au "bundle" incluant la clé privée (concaténation de la clé privée, du certificat du domaine "mail.wistee.fr", du certificat SSL intermédiaire puis du certificat SSL racine)
ssl_key : Cette directive doit faire appel uniquement à la clé privée que vous avez intégré dans le bundle et qui est associée au certificat SSL délivré. Il s'agit de la clé privée générée en même temps que la requête CSR.
Attention à bien spécifié le < avant le chemin pointant vers la chaine de certification / clé privée.
ssl_protocols : Cette directive permet de désactiver les protocoles SSLv2 et SSLv3 (obsolètes / non sécurisés). Seul le protocole TLS sera activé.
ssl_cipher_list : Cette directive permet de définir les méthodes de cryptographies sécurisées à utiliser par le serveur / client.
Redémarrez votre service dovecot afin que les modifications soient prises en compte (service dovecot restart ou /etc/init.d/dovecot restart)
4. Tester la connexion à Dovecot avec TLS (POPs ou IMAPs)
Si la connexion TLS avec Dovecot s'est établie correctement, vous devez voir le protocole (idéalement TLS v1.2) et la méthode de cryptographie utilisées :
N'oubliez pas que si le certificat SSL est acheté chez Wistee, nous pouvons gratuitement prendre en charge l'installation du certificat SSL sur Dovecot.
Cette installation s'effectue avec vous, par téléphone, et via une prise de contrôle à distance de votre PC par TeamViewer.