Opportunistic encryption kasutamine Postfixiga

Sisukord

1 Sissejuhatus
2 Serveri seadistamine
3 Kliendi seadistamine
4 Opportunistic encryption kasutamine
5 Kasulikud lisamaterjalid

Sissejuhatus

Üldiselt saab Postfix'i seadistada käima nii väljuvat kui sisenevat andmevahetust krüptima. Seejuures saab valida kui nö agressiivselt Postifix krüptimise ning lisaks autentimisega tegeleb. Üks populaarne andmevahetuse krüptimise viis on nn võimalusel krpüptimine (ingl. k. opportunistic encryption), mis tähendab seda, et osalised ei autendi üksteist, kuid kui mõlemad pooled suudavad krüptimise osas kokku leppida, siis toimub andmevahetus üle krüptitud kanali. See ei ole küll range turvameede, kui pigem teeb andmevahetuse võimalusel turvalisemaks selles mõttes, et andmevahetust on kolmandal osapoolel raskem pealt kuulata.

Serveri seadistamine

Postfixi server toetab võimalusel krüptimist kui seadistusfailis kasutada

 smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
 smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
 smtpd_use_tls=yes
 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
 smtpd_tls_loglevel = 1
 smtpd_tls_received_header = yes

Vaikimisi sisalduvad Debiani Lenny Postfixi seadistusfailis sarnased read, kus

smtpd_tls_received_header - kirja päisesse lisatakse rida krüptimise kohta

Kliendi seadistamine

Postfixi klient toetab võimalusel krüptimist kui seadistusfailis kasutada

 smtp_use_tls = yes
 smtp_tls_note_starttls_offer = yes
 smtp_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
 smtp_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
 smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache