Installer un certificat SSL sur Postfix (SMTPs)

Nous allons dans ce tutoriel vous expliquer comment configurer votre serveur Postfix (SMTPs) pour utiliser la cryptographie TLS / SSL avec STARTTLS.
L'objectif de la mise en place du SMTPs sur Postfix est de chiffrer la session afin d'éviter toute interception de données lors de l'envoi / réception d'un e-mail par SMTP.

Le port qui sera utilisé par Postfix pour le SMTPs sera le port 587 (port par défaut pour un SMTP sécurisé) via une cryptographie TLS (protocole remplaçant le SSL : obsolète)

1. Quelle adresse doit être sécurisée par Postfix ?

Vous devez sécuriser l'adresse déclarée dans le champ MX de votre zone DNS. Récupérez le nom d'hôte SMTP via la commande ci-dessous (avec cmd par un Terminal) :

nslookup -type=MX wistee.fr

Server:		8.8.4.4
Address:	8.8.4.4#53

Non-authoritative answer:
wistee.fr	mail exchanger = 10 1.mail.wistee.fr. 

L'adresse "1.mail.wistee.fr" devra être sécurisé avec un certificat SSL. C'est ce nom d'hôte qui doit être spécifié comme serveur SMTP sur votre outil de messagerie.
C'est également sur cette adresse que le serveur SMTP distant établira la connexion avec votre serveur Postfix.


2. Acheter un certificat SSL pour sécuriser Postfix

Important : Acheter un certificat SSL valide est indispensable pour que le serveur SMTP de l'expéditeur puisse vous délivrer un e-mail et pour que vous puissiez en envoyer.
Si le certificat SSL n'est pas reconnu (auto-signé), la connexion à votre serveur ne pourra donc pas être établie et des e-mails peuvent ne pas vous être délivrés. 

3. Configuration de Postfix pour activer le TLS (SMTPs)

​Dans un premier temps, il est nécessaire de vérifier si Postfix n'est pas déjà partiellement configuré pour le TLS (généralement dans main.cf).
Exécutez la recherche ci-dessous afin de trouver la configuration Postfix TLS dans le dossier "/etc/postfix".

grep -R "_tls_" /etc/postfix 

Ouvrez le fichier de configuration Postfix avec un éditeur de texte (nano ou vi) afin d'y ajouter la configuration Postfix ci-dessous : 

Attention : Une analyse globale de la configuration de Postfix est recommandée, car certaines directives complémentaires peuvent être nécessaires selon la version de Postfix.
Wistee décline toute responsabilité en cas de perte d'e-mails suite à une mauvaise configuration.

Notez que si le certificat SSL est acheté chez nous, nous pouvons prendre gratuitement en charge cette configuration (sur Postfix + Dovecot)

Par conséquent, ne prenez pas de risque de perdre des e-mails : N'hésitez pas à contacter nos administrateurs systèmes au 03 44 02 02 15 !

# smtpd : SMTP entrant
smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtpd_tls_ciphers = high

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtpd_tls_mandatory_ciphers = high

smtpd_tls_security_level = may

# smtp : SMTP sortant
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtp_tls_mandatory_ciphers = high

smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1.1, TLSv1.2
smtp_tls_mandatory_ciphers = high

smtp_tls_security_level = may

# Définies les méthodes de cryptographie à utiliser (HIGH)
tls_high_cipherlist = HIGH:!aNULL:!MD5:!ADH:!RC4:!DH 

# Charge le certificat SSL de votre serveur SMTP
smtpd_tls_cert_file = /etc/ssl/1.mail.wistee.fr/autres-formats/1.mail.wistee.fr.pem
smtpd_tls_key_file = /etc/ssl/1.mail.wistee.fr/wildcard-wistee-fr.key
smtpd_tls_CAfile = /etc/ssl/1.mail.wistee.fr/ThawteRSACA2018.cer

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 

Il ne vous reste plus qu'à redémarrer Postfix pour appliquer ces modifications (service postfix restart ou /etc/init.d/postfix restart)

Sachez que si le certificat SSL est commandé chez Wistee, nous pouvons nous occuper gratuitement de l'installation du certificat SSL sur Postifx + Dovecot.
L'installation du SSL sur Postfix + Dovecot s'effectue par téléphone et via une prise de contrôle à distance de poste à l'aide de TeamViewer.

Ne prenez pas de risque de perdre des e-mails : N'hésitez pas à nous appeler au 03 44 02 02 15 pour toute aide à l'installation !

Cliquez ici pour installer le certificat SSL sur Dovecot