10 votes

Gerard Mick avatar

Gmail signale les e-mails Dovecot comme non sécurisés

Demandé el 16 de Février, 2016
Quand la question a-t-elle été
4020 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai pensé avoir correctement sécurisé mon serveur de messagerie Postfix/Dovecot. J'ai un certificat signé par LetsEncrypt, valide pour mon domaine.

L'envoi et la réception fonctionnent bien, mais depuis que Gmail a commencé à signaler les e-mails non sécurisés, tous les mails envoyés depuis mon serveur sont signalés comme non cryptés.

Les utilisateurs de Gmail voient "Ce message n'était pas chiffré", comme ceci:

entrez ici la description de l'image

Dans le main.cf de Postfix, parmi d'autres paramètres, j'ai:

# SASL, pour l'authentification SMTP
smtpd_sasl_type = dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path = private/auth

# TLS, pour le chiffrement
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem
tls_random_source = dev:/dev/urandom
smtpd_client_new_tls_session_rate_limit = 10
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_exclude_ciphers =
    EXP
    EDH-RSA-DES-CBC-SHA
    ADH-DES-CBC-SHA
    DES-CBC-SHA
    SEED-SHA
smtpd_tls_dh512_param_file = ${config_directory}/certs/dh_512.pem
smtpd_tls_dh1024_param_file = ${config_directory}/certs/dh_1024.pem
disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes

Dans le master.cf de Postfix, parmi d'autres paramètres, j'ai:

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=encrypt

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes

Dans le 10-ssl.conf de Dovecot, parmi d'autres paramètres, j'ai:

ssl = required
ssl_ca =

`

Gmail signale-t-il à tort les certificats LetsEncrypt car il ne leur fait pas confiance, ou mes e-mails sont-ils vraiment envoyés non cryptés?

`

Demandé el 16 de Février, 2016 par Gerard Mick

1 votes

Avatar de Michael Hampton

Veuillez poster le fichier main.cf de Postfix. Vous n'avez pas inclus toutes les informations pertinentes dans vos extraits de code.

Commenté el 16 de Février, 2016 par Michael Hampton

0 votes

Avatar de Gerard Mick

@MichaelHampton - bien sûr. J'ai ajouté tout le contenu personnalisé de mon main.cf. Il exclut uniquement les éléments de base tels que smtpd_banner, myhostname, etc.

Commenté el 17 de Février, 2016 par Gerard Mick

Réponses

Trop de publicités?

11voto

Gerard Mick avatar
Gerard Mick Points 1

J'ai résolu ce problème en ajoutant ces deux lignes au fichier main.cf de Postfix :

smtp_tls_security_level = may
smtpd_tls_security_level = may

(Je n'avais configuré que smtpd_tls_security_level à cause d'un article trompeur qui disait que toutes les valeurs smtp_ étaient obsolètes au profit de smtpd_.)

Répondu el 27 de Février, 2016 par Gerard Mick (1 Points )

7voto

Jofre avatar
Jofre Points 529

Votre e-mail est envoyé non crypté. Si vous voulez juste essayer de faire de votre mieux, ajoutez ce qui suit à votre main.cf

smtp_tls_security_level = may

Pour imposer le chiffrement TLS pour les e-mails envoyés à Google, ajoutez ceci à votre main.cf

# Forcer TLS pour la connexion au serveur sortant
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_CApath = /etc/postfix/rootcas/

remplacez /etc/postfix/rootcas/ par l'emplacement de vos AC racine de confiance et dans le fichier /etc/postfix/tls_policy ajoutez

# /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
gmail.com       secure ciphers=high
google.com      secure ciphers=high
googlemail.com  secure ciphers=high

cela forcera l'envoi d'e-mails cryptés à gmail.com, google.com et googlemail.com, authentifiant ainsi le serveur SMTP

Si vous ne voulez pas vous authentifier et juste chiffrer (ce qui est nécessaire pour les sites avec des certificats bidons), utilisez

gmail.com       encrypt ciphers=high
google.com      encrypt ciphers=high
googlemail.com  encrypt ciphers=high

avant de redémarrer postfix, exécutez

postmap /etc/postfix/tls_policy
Répondu el 26 de Février, 2016 par Jofre (529 Points )

0 votes

Avatar de Gerard Mick

Merci pour ça. Ce que j'essaie vraiment de faire, c'est de forcer le TLS chaque fois que possible vers toutes les destinations, et de revenir en toute sécurité au non crypté uniquement en dernier recours si la destination ne le prend pas en charge. Est-ce possible sans listes maintenues de domaines spécifiques? Comme une contrainte globale du TLS?

Commenté el 26 de Février, 2016 par Gerard Mick

0 votes

Avatar de Jofre

Le problème est que de nombreux serveurs ne prennent pas en charge TLS et d'autres le prennent en charge et utilisent des certificats auto-signés ou frauduleux. De plus, comme le STARTTLS est envoyé en clair, un attaquant actif pourrait le supprimer en transit. Je suis d'accord pour dire qu'avoir une table longue séparée est la solution la plus sûre mais pas la plus fiable.

Commenté el 26 de Février, 2016 par Jofre

0 votes

Avatar de Jofre

Je rencontre également des problèmes avec certains sites. Voir Postfix "Connexion TLS fiable établie" mais "Certificat de serveur non vérifié"

Commenté el 26 de Février, 2016 par Jofre
Afficher 1 autres commentaires

5voto

user885983 avatar
user885983 Points 153

Considérez la relation client/serveur en ce qui concerne SMTP et les paramètres ont du sens :

2.1. Structure de base

La conception SMTP peut être représentée comme suit :

              +----------+                +----------+
  +------+    |          |                |          |
  | Utilisateur |<-->|          |      SMTP      |          |
  +------+    |  Client- |Commandes/Réponses| Serveur-  |
  +------+    |   SMTP   |<-------------->|    SMTP  |    +------+
  | Fichier |<-->|          |    et Mail    |          |<-->| Fichier |
  |Système|    |          |                |          |    |Système|
  +------+    +----------+                +----------+    +------+
               Client SMTP                Serveur SMTP

(Source : rfc5321.txt)

Ainsi :

"smtp_tls_security_level" concerne le client SMTP Postfix. Voir : http://www.postfix.org/postconf.5.html#smtp_tls_security_level

"smtpd_tls_security_level" concerne le serveur SMTP Postfix Voir : http://www.postfix.org/postconf.5.html#smtpd_tls_security_level

Lorsque Postfix transfère des mails à gmail, le paramètre smtp_tls_security_level est le paramètre associé.

Lorsque Postfix reçoit des mails via smtp, le paramètre smtpd_tls_security_level est pertinent.

Répondu el 22 de Juin, 2016 par user885983 (153 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X