Instalacja SSL w postfix i dovecot na raspberrypi

[error]

Koniec. Pękłem. Pomocy :D

Wiem, że to raczej problem świeżaka na linuksie, ale że całość dramatu odbywa się na RP4B to spróbuję tutaj.

Zachciało mi się serwera poczty i www na Raspberry.

Zainstalowałem postfixa i apache`a. Skonfigurowałem. DZIAŁA.

Korzystałem z serii tutoriali pod tym linkiem
https://samhobbs.co.uk/raspberry-pi-email-server

Niektóre fragmenty są tam przestarzałe, ale daje się w sieci znaleźć i aktualne.

No ale, że zachciało mi się także, żeby moje maile nie wpadały ludziom do spamu wykupiłem certyfikat ssl. Bo domenę miałem.

Przekopuję internet i nie mogę tego ogarnąć.

Otrzymałem maila z certyfikatami. Klucz prywatny zapisałem podczas rejestracji z rozszerzeniem .key

Przyszedł jeden certyfikat.ca-bundle , drugi certyfikat.crt
Otworzyłem jeden i drugi w notepad++ i zawartość certyfikat.crt wkleiłem na końcu w pliku certyfikat.bundle. Zapisałem całość jako plik kanapka.pem

Pytanie, czy tak to miało wyglądać?

Teraz problem drugi.

Mam postfixa i dovecota. W obu muszę wyedytować plik konfiguracyjny podając ścieżki do pliku pem i pliku key (klucz prywatny).  Z plikiem .pem nie ma problemu bo dostęp do etc/ssl/certs/ jest bezproblemowy.

Za to problem pojawia się dalej, bo nijak nie mogę się dostać do katalogu /etc/ssl/private/ do którego powinienem wrzucić prywatny.key

Skopiowałem klucz prywatny sudo cp kluczprywatny.key /etc/ssl/private/ Nie otrzymałem żadnego komunikatu, ale podejrzeć czy tam jest nie mogę bo "brak dostępu"

Co więcej, gdy skopiowałem go do mniej bezpiecznego miejsca to nadal nie uzyskuję połączenia.

Nie mam już koncepcji.
Jakaś porada? Link dla kompletnie zielonego? Jak krok po kroku wkleić te certyfikaty, żeby to działało? na snakeoil działa bardzo ładnie. Przy zmianie na certyfikat kupiony diabli biorą połączenie :(

Potrzebuję ścieżek:

/etc/ssl/certs/kanapka.pem
/etc/ssl/private/prywatny.key

 

[ethanak]

Przede wszystkim: to że masz certyfikat nie spowoduje, że maile nie będą wpadać do spamu. Certyfikat jest ważny, gdy ktoś wysyła do Ciebie maila, a nie gdy Ty wysyłasz. Skonfiguruj prawidłowo RevDNS, SPF, bez tego maile nawet do spamu nie trafią.

Co do kopiowania: zapoznaj się z poleceniem su, lub poczytaj o wszystkich parametrach sudo. Zapoznaj się z programem mc, oszczędzi mnóstwo nerwów.

A przede wszystkim zabezpiecz tego postfixa baaaaardzo porządnie, bo bez tego trafisz na wszystkie możliwe blacklisty (a usunięcie z niektórych to koszt kilkudziesięciu euro).

Tak przy okazji - na komercyjnych serwerach korzystam z letsencrypta...

Edytowano Sierpień 2, 2020 przez ethanak

[error]

RevDns jest ustawiony prawidłowo.

MC zainstalowałem. Faktycznie wszystko stało się łatwiejsze. Dzięki jak nie wiem co 😄 Udało się skopiować pliki i ustawić właściciela oraz prawa dostępu (ustawiłem w moich takie same jak w tych, które działają)

ALE...

I tak nie działa 😄 Błędu nie znalazłem. Więc opcje są dwie. Albo mi wygenerowało wadliwy klucz prywatny (w co nie za bardzo wierzę EDIT: sprawdziłem. Jest poprawny.), albo psikus tkwi w kluczu. Bo te działające to 2048 a ja mam 4096...

 

Edytowano Sierpień 2, 2020 przez error

[error]

Wszystko uruchomiłem. Działa. Programy testowe mówią, że wsjo jest OK. PTR, certyfikaty, szyfrowania... Poczta lata, szyfruje się, i generalnie jestem szczęśliwym posiadaczem mini serwerka na Malinie.
Chciałbym jeszcze jedną rzecz zrobić.

Wymusiłem, aby poczta była szyfrowana. Tak wychodząca jak i przychodząca. Czyli jak ktoś ma konto pocztowe z serwerem, który nie wspiera szyfrowania to sorry. Z moim sobie nie pogada. Jak wysyłam od siebie wiadomość do konta Google to tam w nagłówkach jest ładna informacja, ze nadawca (ja na Malinie) zaszyfrował, TLS 1.3 itp. Ale jak zrobić, żeby w nagłówkach wiadomości była taka informacja u mnie (np. Google zaszyfrował TLS`em itd.) Jakiś pomysł?

[Polecacz 101]

Produkcja i montaż PCB - wybierz sprawdzone PCBWay!
   • Darmowe płytki dla studentów i projektów non-profit
   • Tylko 5$ za 10 prototypów PCB w 24 godziny
   • Usługa projektowania PCB na zlecenie
   • Montaż PCB od 30$ + bezpłatna dostawa i szablony
   • Darmowe narzędzie do podglądu plików Gerber
Zobacz również » Film z fabryki PCBWay

[ethanak]

Wymuszenie szyfrowania? Super sposób! Rozumiem, że masz certy dla wszystkich obsługiwanych domen...

A od nagłówków to jest serwer przyjmujący maila, bo na wychodcącym to ja mogę wrzucić nagłówek, że szyfrowanie jest systemem Lorda Vadera i na długość klucza 8192 Gb.

[error]

Mam jedną domenę i jeden wykupiony certyfikat.

Co do nagłówków, faktycznie. Jak ustawiłem  w main.cf  smtpd_tls_received_header = yes oraz smtpd_tls_loglevel = 2 pojawiły się informacje o które mi chodziło.

 

Received: from mail-ed1-f44.google.com (mail-ed1-f44.google.com [209.85.208.44])
	(using TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits)
	 key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)

 

[lg2000]

Masz już ustawiony SSL na SMTP. Musisz jeszcze ustawić SSLa dla klientów w Dovecot. W pierwszej kolejności jednak musisz wybrać protokół jakim chcesz się łączyć POP, IMAP czy też jedno i drugie. Możesz wymusić połączenia tylko przez SSL w dovecot.conf. To jest jednak bardzo podstawowa konfiguracja. Jest taka fajna strona na temat serwera pocztowego na postfixie https://www.lemat.priv.pl/ Jak instalowałem swój serwer wzorowałem się na tych opisach. Generalnie poczta to neverending story.