From 220eeea2f26e4be94cedcd9c801e02a39a58ea0c Mon Sep 17 00:00:00 2001 From: Guilhem Moulin Date: Tue, 19 Mar 2019 22:38:13 +0100 Subject: MUA/MTA configuration: prefer implicit TLS over STARTTLS for mail submission. --- konfigurera.mdwn | 47 ++++++++++++++++++++++++++++------------------- 1 file changed, 28 insertions(+), 19 deletions(-) diff --git a/konfigurera.mdwn b/konfigurera.mdwn index 0e63862..1acb2d9 100644 --- a/konfigurera.mdwn +++ b/konfigurera.mdwn @@ -36,13 +36,13 @@ Inställningar för utgående e-post --------------------------------- * SMTP och värd: `smtp.fripost.org` - * Anslutning/Krypteringsmetod: `STARTTLS` - * Port: `587` + * Port: `465` + * Anslutning/Krypteringsmetod: `SSL/TLS` (inte `STARTTLS`) * Domän (där det behövs): `fripost.org` * Användare: `ANVÄNDARNAMN` (eller `ANVÄNDARNAMN@fripost.org`) -Istället för port 587 och StartTLS du kan också använda -[port 465 och SSL/TLS](https://tools.ietf.org/html/rfc8314#section-3.3). +Istället för port `465` och `SSL/TLS` du kan också använda port `587` +och `STARTTLS` (t.ex. om din ISP förbjuder 465/tcp). Du kan också använda din Internetleverantörs server. Vi listar några vanliga här nedan. @@ -135,8 +135,8 @@ Msmtp är en flexibel ersättning för Sendmail. # Fripostkontot account fripost host smtp.fripost.org - tls_starttls on - port 587 + tls_starttls off + port 465 domain fripost.org from ANVÄNDARNAMN@fripost.org user ANVÄNDARNAMN@fripost.org @@ -146,7 +146,7 @@ Msmtp är en flexibel ersättning för Sendmail. Du kan använda antingen en enda relävärd för alla meddelanden eller flera stycken och låta Postfix välja mellan dem beroende på kuvertavsändarens adress. Först följer anvisningar för den enkla och sedan för den avsändarberoende konfigurationen. Välj (endast) ett av avsnitten här nedan. -#### Enkel relävärd (`smtp.fripost.org:587`) för alla utgående meddelanden ##### +#### Enkel relävärd (`smtp.fripost.org:465`) för alla utgående meddelanden ##### Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`: @@ -155,18 +155,19 @@ Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`: (den ska endast kunna läsas av superanvändaren). Redigera filen och ange dina uppgifter enligt formen - [smtp.fripost.org]:587 ANVÄNDARNAMN@fripost.org:XXXXXXXX + [smtp.fripost.org]:465 ANVÄNDARNAMN@fripost.org:XXXXXXXX Lägg nu till nedanstående i filen `/etc/postfix/main.cf`. inet_interfaces = loopback-only - relayhost = [smtp.fripost.org]:587 + relayhost = [smtp.fripost.org]:465 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = texthash:/etc/postfix/sasl/passwd smtp_sasl_security_options = noanonymous, noplaintext smtp_sasl_tls_security_options = noanonymous + smtp_tls_wrappermode = yes smtp_tls_security_level = fingerprint smtp_tls_fingerprint_digest = sha256 smtp_tls_mandatory_ciphers = high @@ -179,7 +180,7 @@ Glöm inte att ladda om (eller kanske t.o.m. starta om) Postfix efter att du har #### Avsändarberoende relävärd #### -Denna konfiguration är snäppet mer avancerad än den för enkel relävärd, men kan vara bra om man vill använda `smtp.fripost.org:587` för privata meddelanden och t.ex. `smtp.example.org:587`, ett visst företags relävärd, för yrkesrelaterade meddelanden. +Denna konfiguration är snäppet mer avancerad än den för enkel relävärd, men kan vara bra om man vill använda `smtp.fripost.org:465` (implicit SSL/TLS) för privata meddelanden och t.ex. `smtp.example.org:587` (StartTLS), ett visst företags relävärd, för yrkesrelaterade meddelanden. Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`: @@ -188,31 +189,32 @@ Skapa en fil med sökvägen `/etc/postfix/sasl/passwd`: (den ska endast kunna läsas av superanvändaren). Redigera filen och ange dina uppgifter enligt formen - [smtp.fripost.org]:587 ANVÄNDARNAMN1@fripost.org:XXXXXXXX + [smtp.fripost.org]:465 ANVÄNDARNAMN1@fripost.org:XXXXXXXX [smtp.example.org]:587 ANVÄNDARNAMN2@example.org:XXXXXXXX Ange sedan dina SSL/TLS-klientregler i `/etc/postfix/tls_policy`: [smtp.example.org]:587 secure ciphers=high protocols=!SSLv2:!SSLv3 - [smtp.fripost.org]:587 fingerprint ciphers=high protocols=!SSLv2:!SSLv3:!TLSv1:!TLSv1.1 + [smtp.fripost.org]:465 fingerprint ciphers=high protocols=!SSLv2:!SSLv3:!TLSv1:!TLSv1.1 match=A2:72:6E:C6:51:4D:66:70:AA:F4:90:08:C1:7A:3F:28:F9:2E:E9:81:E5:30:D1:0E:19:D6:84:7C:EA:A3:C9:05 Se `postconf(5)` för att läsa mer om SSL/TLS-klientregler. Fingeravtrycket till vårt [server-certifikats](https://git.fripost.org/fripost-ansible/plain/certs/public/smtp.fripost.org.pem) publika nyckel hittar du [här](https://fripost.org/certs.asc). Se `postconf(5)` för att läsa mer om SSL/TLS-klientregler. Se även [fingeravtrycket](https://fripost.org/certs.asc) till vårt [servercertifikats](https://git.fripost.org/fripost-ansible/plain/certs/public/smtp.fripost.org.pem) publika nyckel. Dina relävärdsregler i `/etc/postfix/relayhost_map` är: - @fripost.org [smtp.fripost.org]:587 - @example.org [smtp.example.org]:587 + @fripost.org relay-smtps:[smtp.fripost.org]:465 + @example.org relay:[smtp.example.org]:587 -Här säger vi åt Postfix att använda relävärden `smtp.fripost.org:587` när kuvertavsändarens adress har domännamnet `fripost.org` och relävärden `smtp.example.org:587` när domännamnet är `example.org`. Hakparenteserna runt värdnamnet innebär att Postfix inte ska göra några MX-uppslag. +Här säger vi åt Postfix att använda relävärden `smtp.fripost.org:465` (med transport `relay-smtps`) när kuvertavsändarens adress har domännamnet `fripost.org` och relävärden `smtp.example.org:587` (med transport `relay`) när domännamnet är `example.org`. Hakparenteserna runt värdnamnet innebär att Postfix inte ska göra några MX-uppslag. Lägg nu till nedanstående i filen `/etc/postfix/main.cf`. - inet_interfaces = loopback-only - relayhost = [smtp.fripost.org]:587 + inet_interfaces = loopback-only + relayhost = [smtp.fripost.org]:465 + default_transport = relay-smtps - smtp_sender_dependent_authentication = yes - sender_dependent_relayhost_maps = texthash:$config_directory/relayhost_map + smtp_sender_dependent_authentication = yes + sender_dependent_default_transport_maps = texthash:$config_directory/relayhost_map smtp_sasl_auth_enable = yes smtp_sasl_password_maps = texthash:/etc/postfix/sasl/passwd @@ -224,4 +226,11 @@ Lägg nu till nedanstående i filen `/etc/postfix/main.cf`. (De enda skillnaderna mot den "enkla" konfigurationen är att vi här har bytt ut `smtp_tls_*`-valen mot `smtp_tls_policy_maps` och att vi sätter ett standardvärde i de fall som relävärden inte överensstämmer med uppslagstabellen `relayhost_map`.) +Tjänstdefinitionen för `relay` och `relay-smtps` ligger i filen `/etc/postfix/master.cf`: + + relay unix - - - - - smtp + relay-smtps unix - - - - - smtp + -o smtp_tls_wrappermode=yes + -o smtp_tls_security_level=fingerprint + Glöm inte att ladda om (eller kanske t.o.m. starta om) Postfix efter att du har ändrat konfigurationen. Kör t.ex. `service postfix restart` eller `systemctl restart postfix`. -- cgit v1.2.3