সুরক্ষিতভাবে ডোমকোট ইমেলটি জিগেলকে সুরক্ষিত করে


10

আমি ভেবেছিলাম আমি সফলভাবে আমার পোস্টফিক্স / ডোভকোট ইমেল সার্ভারটি সুরক্ষিত করেছি। আমার কাছে লেটসেক্রিপ্ট থেকে স্বাক্ষরিত শংসাপত্র রয়েছে, যা আমার ডোমেনের জন্য বৈধ।

প্রেরণ ও প্রাপ্তি সূক্ষ্ম কাজ করে, তবে যেহেতু Gmail সুরক্ষিত ইমেলগুলি পতাকাঙ্কিত করতে শুরু করেছে, তাই আমার সার্ভার থেকে প্রেরিত সমস্ত মেল এনক্রিপ্ট করা হিসাবে চিহ্নিত করা হবে।

জিমেইল ব্যবহারকারীরা "এই বার্তাটি এনক্রিপ্ট করা হয়নি" দেখুন:

এখানে চিত্র বর্ণনা লিখুন

পোস্টফিক্সে main.cf, অন্যান্য সেটিংসের মধ্যে আমার কাছে রয়েছে:

# SASL, for SMTP authentication
smtpd_sasl_type = dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path = private/auth

# TLS, for encryption
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/live/mydomain.com/chain.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com/privkey.pem
tls_random_source = dev:/dev/urandom
smtpd_client_new_tls_session_rate_limit = 10
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_exclude_ciphers =
    EXP
    EDH-RSA-DES-CBC-SHA
    ADH-DES-CBC-SHA
    DES-CBC-SHA
    SEED-SHA
smtpd_tls_dh512_param_file = ${config_directory}/certs/dh_512.pem
smtpd_tls_dh1024_param_file = ${config_directory}/certs/dh_1024.pem
disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes

পোস্টফিক্সে master.cf, অন্যান্য সেটিংসের মধ্যে আমার কাছে রয়েছে:

smtp      inet  n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_use_tls=yes
  -o smtpd_tls_security_level=encrypt

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes

10-ssl.confঅন্যান্য সেটিংসের মধ্যে ডোভকোটের মধ্যে আমার রয়েছে:

ssl = required
ssl_ca = </etc/letsencrypt/live/mydomain.com/chain.pem
ssl_cert = </etc/letsencrypt/live/mydomain.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/mydomain.com/privkey.pem

জিমেইল কি লেটসক্রিপ্ট শংসাপত্রগুলি মিথ্যাভাবে পতাকাঙ্কিত করছে কারণ এটি তাদের বিশ্বাস করে না, বা আমার ইমেলটি সত্যিই এনক্রিপ্ট করা হয়েছে?


1
পোস্টফিক্স পোস্ট করুন main.cf। আপনি আপনার স্নিপকেটে প্রাসঙ্গিক সবকিছু অন্তর্ভুক্ত করেননি।
মাইকেল হ্যাম্পটন

@ মিশেলহ্যাম্পটন - নিশ্চিত জিনিস আমি আমার main.cf এর সমস্ত কাস্টম সামগ্রী যুক্ত করেছি। মত এটা শুধুমাত্র বাদ মৌলিক সামগ্রী smtpd_banner, myhostnameইত্যাদি
gavanon

উত্তর:


11

পোস্টফিক্সের এই দুটি লাইন যুক্ত করে আমি এটি সমাধান করেছি main.cf:

smtp_tls_security_level = may
smtpd_tls_security_level = may

(আমি কেবল smtpd_tls_security_levelএকটি বিভ্রান্তিমূলক নিবন্ধের কারণেই সেট করেছিলাম যা বলেছিল যে সমস্ত smtp_মূল্যবোধের পক্ষে অবমূল্যায়ন করা হয়েছিল smtpd_।)


7

আপনার ইমেলটি এনক্রিপ্ট না করে প্রেরণ করা হয়েছে। যদি আপনি কেবল নিজের সেরাটি চেষ্টা করতে চান তবে নিম্নলিখিতগুলি আপনার মেইন.সিএফ-এ যুক্ত করুন

smtp_tls_security_level = may

গুগলে প্রেরিত ইমেলের জন্য টিএলএস এনক্রিপশন প্রয়োগ করতে এটি আপনার মেইন সিএফ-এ যুক্ত করুন

# Force TLS for outgoing server connection
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy
smtp_tls_CApath = /etc/postfix/rootcas/ 

আপনার বিশ্বস্ত রুট সিএ এর অবস্থানের সাথে / ইত্যাদি / পোস্টফিক্স / রুটকাস / প্রতিস্থাপন করুন এবং ফাইল / ইত্যাদি / পোস্টফিক্স / টিএলএস_পলিসি যুক্ত করুন

#/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
gmail.com       secure ciphers=high
google.com      secure ciphers=high
googlemail.com  secure ciphers=high

এটি gmail.com- এ প্রেরিত ইমেলটি কার্যকর করবে,

আপনি যদি প্রমাণীকরণ এবং কেবল এনক্রিপ্ট করতে না চান (এটি বগাস শংসাপত্রের জন্য সাইটের জন্য প্রয়োজনীয়) ব্যবহার

gmail.com       encrypt ciphers=high
google.com      encrypt ciphers=high
googlemail.com  encrypt ciphers=high

পোস্টফিক্স এক্সিকিউট পুনরায় আরম্ভ করার আগে

postmap /etc/postfix/tls_policy

এর জন্য ধন্যবাদ. আমি সত্যিই যা করার চেষ্টা করছি তা হল সমস্ত গন্তব্যগুলিতে যখনই সম্ভব টিএলএসকে বাধ্য করা, এবং গন্তব্যটি সমর্থন না করে তবে নিরাপদে কেবল একটি শেষ বিকল্প হিসাবে এনক্রিপ্ট করাতে ফিরে যেতে। নির্দিষ্ট ডোমেনের রক্ষণাবেক্ষণের তালিকা ছাড়া কি এটি সম্ভব? টিএলএস জোর করে ধরার মতো?
গাভানন

সমস্যাটি হ'ল এমন অনেক সার্ভার রয়েছে যা টিএলএস সমর্থন করে না এবং অন্যান্য যা এটি সমর্থন করে এবং স্ব-স্বাক্ষরিত বা বোগাস শংসাপত্র ব্যবহার করে। STARTLS স্পষ্ট পাঠ্যে প্রেরিত হওয়ার সাথে সাথে একজন সক্রিয় আক্রমণকারী ট্রানজিটে এটিকে ছিনিয়ে নিতে পারে। আমি একমত যে পৃথক দীর্ঘ টেবিল রাখা সবচেয়ে নিরাপদ তবে সবচেয়ে নির্ভরযোগ্য সমাধান নয়
জোফ্রে

I´m এর কিছু সাইটের সাথে কিছু সমস্যা রয়েছে। পোস্টফিক্স
জোফ্রে

ধন্যবাদ - আপনার উত্তর প্রথম অংশ সহায়ক ছিল: smtp_tls_security_level = may। এটি প্রয়োজনীয় ছিল এবং গুগল-নির্দিষ্ট সেটিংসের বাকী অংশগুলির প্রয়োজন ছিল না।
গাভানন

5

এসএমটিপি এবং সেটিংসটি বোঝার সাথে সম্পর্কিত ক্লায়েন্ট / সার্ভারের সম্পর্কটি বিবেচনা করুন:

2.1। মৌলিক গঠন

এসএমটিপি নকশাটি চিত্রিত করা যেতে পারে:

              +----------+                +----------+
  +------+    |          |                |          |
  | User |<-->|          |      SMTP      |          |
  +------+    |  Client- |Commands/Replies| Server-  |
  +------+    |   SMTP   |<-------------->|    SMTP  |    +------+
  | File |<-->|          |    and Mail    |          |<-->| File |
  |System|    |          |                |          |    |System|
  +------+    +----------+                +----------+    +------+
               SMTP client                SMTP server

(এসসিআরসি: rfc5321.txt)

এভাবে:

"smtp_tls_security_level" পোস্টফিক্স এসএমটিপি ক্লায়েন্টের জন্য। দেখুন: http://www.postfix.org/postconf.5.html#smtp_tls_security_level

"smtp d _tls_security_level" পোস্টফিক্স এসএমটিপি সার্ভারের জন্য দেখুন দেখুন: http://www.postfix.org/postconf.5.html#smtpd_tls_security_level

পোস্টফিক্স যখন জিমেইলে মেল স্থানান্তর করে, তখন smtp_tls_security_level সেটিংটি সম্পর্কিত সেটিংস।

পোস্টফিক্সটি যখন এসএমটিপি-র মাধ্যমে মেইল পাচ্ছে , তখন এসএমটিপি ডি _টিএলএস_সিকিউরিটি_সামান্য সেটিং প্রাসঙ্গিক।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.