Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:letsencrypt [2022/02/15 09:39] – [Rimozione di un nome di dominio dai Subject Alternative Names] niccolo
+++ doc:appunti:linux:sa:letsencrypt [2022/04/01 07:41] – [Utilizzo dei certificati con Postfix] niccolo
@@ Line 186: / Line 186: @@
 ===== Utilizzo dei certificati con Postfix =====
-Sembra che con i permessi predefiniti Postfix riesca a leggere i certificati direttamente dalla directory di Let's Encrypt, quindi è sufficiente mettere in **''/etc/postfix/main.cf''**:
+Con i permessi predefiniti Postfix riesce a leggere i certificati direttamente dalla directory di Let's Encrypt (provato con Debian versione da 9 a 11). Se il file certificato viene aggiornato è necessario fare un **reload** del demone.
+==== Certificati TLS come server ====
+Per offrire TLS ai clienti che si connettono è sufficiente mettere in **''/etc/postfix/main.cf''**:
 <file>
@@ Line 193: / Line 197: @@
 </file>
-Se il file certificato viene aggiornato è necessario fare un **reload** del demone.
 Conviene verificare il **livello di crittografia** offerto dal server e **disabilitare tutti i sistemi deboli o difettosi**. Esistono diversi servizi on-line che consentono di fare il check, ad esempio [[https://ssl-tools.net/mailservers|ssl-tools.net]].
@@ Line 211: / Line 214: @@
 smtpd_tls_exclude_ciphers = aNULL, RC4
 </file>
+==== Certificati TLS come client ====
+Per utilizzare TLS quando si effettua il relay ad altri server è necessario mettere quanto segue in **''/etc/postfix/main.cf''**:
+<file>
+# Use TLS as a client, when the relaying server supports it.
+smtp_tls_security_level = may
+smtp_tls_cert_file = /etc/letsencrypt/live/supermail.texnet.it/fullchain.pem
+smtp_tls_key_file = /etc/letsencrypt/live/supermail.texnet.it/privkey.pem
+</file>
+Se si preferisce attivare TLS **solo verso alcuni host** è possibile usare la direttiva **smtp_tls_policy_maps** in questo modo:
+<file>
+# Use TLS as a client, only for some relay hosts.
+smtp_tls_security_level = none
+smtp_tls_cert_file = /etc/letsencrypt/live/supermail.texnet.it/fullchain.pem
+smtp_tls_key_file = /etc/letsencrypt/live/supermail.texnet.it/privkey.pem
+smtp_tls_policy_maps = hash:/etc/postfix/smtp_tls_policy_maps
+</file>
+Il file **/etc/postfix/smtp_tls_policy_maps** deve contenere l'elenco dei domini con una impostazione più restrittiva di **none**, ad esempio **may** oppure **encrypt** (il file deve essere compilato con **postmap**):
+<file>
+gmail.com      may
+rigacci.org    encrypt
+</file>
+Lato ricevente si può verificare che il trasporto sia avvenuto utilizzando crittografia TLS; negli header del messaggio deve risultare **ESMTPS** invece di **ESMTP**:
+<file>
+Received: from mail.mydomain.org (mail.mydomain.org [68.129.233.182])
+        by mail.rigacci.org (Postfix) with ESMTPS id 875378008E
+        for <niccolo@rigacci.org>; Thu, 31 Mar 2022 10:39:43 +0200 (CEST)
+</file>
+^ ESMTP    | Extended Simple Mail Transfer Protocol (aggiunge security, authentication, etc. a SMTP)  |
+^ ESMTPS   | ESMTP con STARTTLS  |
+^ ESMTPSA  | ESMTP con STARTTLS e SMTP AUTH  |
 ===== Verifica del certificato SMTP con STARTTLS =====