TLS

Question

不久前，我写了一篇关于 Postfix 上的 SMTP 身份验证的教程。源代码可以在http://blog.mtak.nl/2013/04/simple-smtp-auth-on-postfix/。

TLS

每当您通过网络发送密码时，它都应该被加密。将以下参数添加到您的main.cf以启用 TLS：

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

当然，您需要确保 cert_file 选项指向有效证书。默认的 snakeoil 证书对于大多数用户来说应该足够安全，但您始终可以购买一些 CA 签名的证书。

您可以使用 OpenSSL 实用程序测试 TLS

$ openssl s_client -starttls smtp -crlf -connect 127.0.0.1:25
CONNECTED(00000003)
[output truncated]
SSL handshake has read 1646 bytes and written 354 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 17C511889EDC11109C9F71C16F7F70AB9B8868129C4B796F96B2F0A68E581A8E
    Session-ID-ctx:
    Master-Key: E391BF9B8940CD36D5E98BC5FAF05860E86AAE4667D5E8E87081AD4A98A7EA91F770790C053A2ECCA42AD2937AD83F90
    Key-Arg   : None
    Start Time: 1365632805
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
250 DSN
quit
221 2.0.0 Bye
closed
$

SAS 连接层

SMTP 不具备任何内置身份验证功能，但可以使用 SASL 框架进行扩展。SASL 在 RFC4422 中进行了描述。为简单起见，我们将使用 PAM 作为身份验证后端。有关身份验证后端的更多信息，请参阅 saslauthd(8)。

要设置 SASL：安装 SASL 所需的所有软件包：

 $ sudo apt-get install libsasl2-2 sasl2-bin libsasl2-modules

编辑/etc/default/saslauthd。您可以保留默认设置，但请确保以下设置匹配：

[...]
START=yes
MECHANISMS="pam"
THREADS=1
[...]
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

创造/etc/postfix/sasl/smtpd.conf：

saslauthd_version: 2
pwcheck_method: saslauthd
mech_list: plain login

调整/etc/postfix/main.cf：

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions =
   permit_sasl_authenticated,
   permit_mynetworks,
   check_relay_domains

将 postfix 用户添加到 sasl Unix 组：

$ adduser postfix sasl
Start the SASL daemon and restart Postfix:
$ /etc/init.d/saslauthd start
$ /etc/init.d/postfix restart

您可以通过创建密码的 base64 哈希并使用它来登录来测试 SMTP AUTH 功能：

$ printf '\0%s\0%s' 'username' 'password' | openssl base64
AHVzZXJuYW1lAHBhc3N3b3Jk
$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.gallische-dorp.net ESMTP Postfix
EHLO localhost
250-mail.gallische-dorp.net
250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
Connection closed by foreign host.

Answer 1

不久前，我写了一篇关于 Postfix 上的 SMTP 身份验证的教程。源代码可以在http://blog.mtak.nl/2013/04/simple-smtp-auth-on-postfix/。

TLS

每当您通过网络发送密码时，它都应该被加密。将以下参数添加到您的main.cf以启用 TLS：

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

当然，您需要确保 cert_file 选项指向有效证书。默认的 snakeoil 证书对于大多数用户来说应该足够安全，但您始终可以购买一些 CA 签名的证书。

您可以使用 OpenSSL 实用程序测试 TLS

$ openssl s_client -starttls smtp -crlf -connect 127.0.0.1:25
CONNECTED(00000003)
[output truncated]
SSL handshake has read 1646 bytes and written 354 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 17C511889EDC11109C9F71C16F7F70AB9B8868129C4B796F96B2F0A68E581A8E
    Session-ID-ctx:
    Master-Key: E391BF9B8940CD36D5E98BC5FAF05860E86AAE4667D5E8E87081AD4A98A7EA91F770790C053A2ECCA42AD2937AD83F90
    Key-Arg   : None
    Start Time: 1365632805
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
250 DSN
quit
221 2.0.0 Bye
closed
$

SAS 连接层

SMTP 不具备任何内置身份验证功能，但可以使用 SASL 框架进行扩展。SASL 在 RFC4422 中进行了描述。为简单起见，我们将使用 PAM 作为身份验证后端。有关身份验证后端的更多信息，请参阅 saslauthd(8)。

要设置 SASL：安装 SASL 所需的所有软件包：

 $ sudo apt-get install libsasl2-2 sasl2-bin libsasl2-modules

编辑/etc/default/saslauthd。您可以保留默认设置，但请确保以下设置匹配：

[...]
START=yes
MECHANISMS="pam"
THREADS=1
[...]
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

创造/etc/postfix/sasl/smtpd.conf：

saslauthd_version: 2
pwcheck_method: saslauthd
mech_list: plain login

调整/etc/postfix/main.cf：

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions =
   permit_sasl_authenticated,
   permit_mynetworks,
   check_relay_domains

将 postfix 用户添加到 sasl Unix 组：

$ adduser postfix sasl
Start the SASL daemon and restart Postfix:
$ /etc/init.d/saslauthd start
$ /etc/init.d/postfix restart

您可以通过创建密码的 base64 哈希并使用它来登录来测试 SMTP AUTH 功能：

$ printf '\0%s\0%s' 'username' 'password' | openssl base64
AHVzZXJuYW1lAHBhc3N3b3Jk
$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.gallische-dorp.net ESMTP Postfix
EHLO localhost
250-mail.gallische-dorp.net
250-PIPELINING
250-SIZE 20480000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk
235 2.7.0 Authentication successful
quit
221 2.0.0 Bye
Connection closed by foreign host.

TLS

如何开启 SMTP 身份验证？

答案1

TLS

SAS 连接层

相关内容