Installer un certificat SSL sur Dovecot (IMAPs + POPs)

Ce tutoriel vous explique la procédure à suivre afin d'installer un certificat SSL sur Dovecot (Serveur de messagerie POP / IMAP).
Un tutoriel complémentaire vous explique comment utiliser ce même certificat SSL sur Postfix.

Mettre en place une authentification SSL / TLS sur votre serveur de messagerie vous permettra d'utiliser les protocoles IMAPs et POPs
Dans ce tutoriel, nous activerons une authentification TLS (protocole plus sécurisé que SSL). IMAPs utilisera le port 993 et POPs utilisera le port 995.


1. Connaitre l'adresse à sécuriser sur Dovecot

Récupérez l'adresse spécifiée dans le champ MX de la zone DNS de votre nom de domaine en exécutant la commande ci-dessous (via cmd ou via un Terminal) :

nslookup -type=MX wistee.fr

Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
wistee.fr	mail exchanger = 10 1.mail.wistee.fr. 

Dans notre exemple, l'adresse "1.mail.wistee.fr" sera l'adresse à sécuriser par un certificat SSL et à renseigner dans le champ POP / IMAP et SMTP du client de messagerie.
Cette adresse pointe en effet vers notre serveur de messagerie via le DNS, et c'est sur cette adresse qu'Outlook, Thunderbird ou Mail... doit établir la connexion sécurisée.


2. Obtenir un certificat SSL valide pour cette adresse

Attention : Utiliser un certificat SSL valide est indispensable. A défaut, votre client de messagerie affichera un avertissement de sécurité et les outils mobiles (iOS et Android) peuvent ne pas pouvoir établir la connexion sécurisée à votre serveur POP / IMAP (Dovecot)

3. Configurer Dovecot avec SSL / TLS pour le protocole POPs et IMAPs

​Recherchez si une configuration SSL est déjà présente par défaut dans vos fichiers de configuration Dovecot afin la remplacer par une configuration SSL / TLS valide.
La commande ci-dessous va rechercher les paramètres Dovecot liés au SSL / TLS actifs (non commentés) dans le répertoire "/etc/dovecot".

egrep -R "ssl_cert|ssl_key|ssl_protocols|ssl_cipher_list" /etc/dovecot | egrep -v "#" 

Si des résultats vous sont retournés, éditez le(s) fichier(s) où se trouve la configuration. A défaut, éditez /etc/dovecot/dovecot.conf et placez la configuration suivante : 

local_name "1.mail.wistee.fr" {
    ssl_cert = </etc/ssl/1.mail.wistee.fr/autres-formats/1.mail.wistee.fr.pem
    ssl_key = </etc/ssl/1.mail.wistee.fr/1.mail.wistee.fr.key
}

ssl = yes

ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS 

Redémarrez votre service dovecot afin que les modifications soient prises en compte (service dovecot restart ou /etc/init.d/dovecot restart)

N'oubliez pas que si le certificat SSL est acheté chez Wistee, nous pouvons gratuitement prendre en charge l'installation du certificat SSL sur Dovecot.
Cette installation s'effectue avec vous, par téléphone, et via une prise de contrôle à distance de votre PC par TeamViewer.

Cliquez ici pour installer le certificat SSL sur Postfix