Postfix: Devrais-je utiliser certe snakeoil ou mon cert https?

Je gère un site et j'ai un certificate générique valide installé pour servir les pages HTTPS. Je viens de configurer postfix sur mon hôte Ubuntu et, par défaut, sa configuration comprend:

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key 

Puis-je changer ces certs snakeoil aux certs que j'ai achetés? Si je peux, devrais-je?

2 Solutions collect form web for “Postfix: Devrais-je utiliser certe snakeoil ou mon cert https?”

Cela dépend de ce que vous voulez et de vos détails d'installation.

service smtpd : un certificate a un nom commun (CN) comme vous le savez, en tenant le domaine pour lequel il est valide. Dites ceci example.com et *.example.com , comme un cas typique pour les certs destinés au web.

Si le nom d'hôte du server de messagerie est mail.example.com (le domaine dans le MX-record importe ici), le cert fourni par le server de messagerie est valide pour example.com y compris les sous-domaines et la validation (si cela se fait) réussit. Si le nom d'hôte du server de messagerie (celui dans l'logging MX) ne correspond pas (par exemple externalservice.example.net ), il échouera.

Dans le cas d'un cert auto-signé, le CN espère bien faire correspondre le FQDN, mais il n'est certainement pas signé par un cert de confiance.

Donc, les deux variantes peuvent échouer. Assurez-vous que le FQDN du server de messagerie correspond au CN du cert (ou à l'inverse). Fournissez également la string de certificates aux CA racines. Voir les documents pour cela.

Mais malheureusement, il est très fréquent d'utiliser des signatures non signées et non fiables, obsolètes ou exclus pour les servers de messagerie. Seule une minorité de servers de courrier en service a des certificates valides. J'ai récemment vu un sondage qui montre que seulement environ 5% ou less ont un certificate valide, mais je ne peux pas le find pour le moment. Le liera plus tard quand je l'aurai trouvé.

Dans le cas du service de soumission , la validation count plus, car les users réels se connectent au service et peuvent get un avertissement de certificate. Les MUA comparent le domaine configuré pour le courrier entrant et sortant avec CommonName utilisé. La même chose que pour smtp s'applique ici, mais les users se plaignent, s'ils obtiennent des avertissements de confiance ou les connections échouent. Comme vous avez un certificate générique, vous pouvez utiliser sans risque smtp.example.com comme nom d'hôte pour ce type de tâches. Sans caractère générique, ce n'est pas si simple.

Vous pouvez et vous devriez (sauf si vous souhaitez utiliser un certificate spécifique à l'hôte).

Techniquement, vous pouvez utiliser tout certificate que vous souhaitez, y compris snakoil. C'est juste un autre cert auto-signé avec un identifiant incompatible. Cependant, il est préférable d'utiliser un certificate qui correspond à ce qu'un client légitime utiliserait pour contacter l'hôte. Cela dépend de votre configuration. Si les gens essaient d' mail.example.com le cert devrait correspondre à mail.example.com . Si elles essaient d'atteindre example.com cela devrait correspondre à cela. *.example.com correspond à mail.example.com , mais pas à example.com . Pas que je recommand d'utiliser le domaine nu pour ce genre de chose.

Aussi, vous voudrez peut-être ne pas être vulnérable à POODLE.
smtpd_tls_protocols = !SSLv2, !SSLv3
Cela importe plus si vous faites auth, mais c'est une bonne idée de toute façon.

  • Test du routing de courrier électronique de Zimbra
  • la migration des boîtes aux lettres sendmail vers postfix
  • Utilisez-vous postfix ou qmail et pourquoi
  • Postfix, lors de l'utilisation du transport - status = rebondé (le courrier pour se rapproche de moi-même)
  • Automatisez l'installation de postfix sur Ubuntu
  • Expliquer le format user @ domaine de postfix $ virtual_mailbox_maps valeur du paramètre
  • Est-il sécurisé de supprimer l'autorisation d'écriture de postfix main.cf?
  • Courrier classé comme spam, mais passe SPF et DKIM
  • Postfix, comment puis-je rejeter le spam d'une adresse IP inconnue (pas de DNS)
  • Les e-mails reportés de Postfix ne sont pas rejetés
  • Augmenter la taille du file pour les files journaux à partir de scripts démarrés à partir de Postfix
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.