Lors de la mise en place de mon nouveau serveur de messagerie, je constate avec stupeur le petit cadenas rouge de Gmail m'indiquant que mes emails ne sont pas chiffrés. Nous allons voir dans cet article comment remédier à cela.
Problème rencontré
Prérequis
Dans cet article, je pars du principe que votre serveur Postfix fonctionne correctement (à part ce petit problème de chiffrement). Il est nécessaire de disposer d'un certificat valide. Il est possible d'utiliser un certificat Let's Encrypt.
Procédure
Version : Postfix 2.11.3
Pour connaitre la version de votre Postfix, saisir la commande suivante :
# postconf -d | grep mail_version
1) Se connecter sur votre serveur Postfix
2) Editer la configuration de Postfix
# nano /etc/postfix/main.cf
3) Ajouter/modifier les directives de votre configuration pour obtenir quelque chose qui ressemble à ça.
Attention, il est nécessaire d'adapter la configuration pour indiquer le bon chemin vers votre certificat
# TLS parameters smtpd_tls_security_level = may smtpd_tls_auth_only = no smtpd_tls_key_file = /etc/letsencrypt/live/vps.adminpasbete.fr/privkey.pem smtpd_tls_cert_file = /etc/letsencrypt/live/vps.adminpasbete.fr/fullchain.pem smtpd_tls_CAfile = /etc/letsencrypt/live/vps.adminpasbete.fr/cert.pem smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # on active TLS pour les connexions sortantes # Sur un postfix anterieur a 2.3, c'est smtp_use_tls = yes smtp_tls_security_level = may smtp_tls_key_file = /etc/letsencrypt/live/vps.adminpasbete.fr/privkey.pem smtp_tls_cert_file = /etc/letsencrypt/live/vps.adminpasbete.fr/fullchain.pem smtp_tls_CAfile = /etc/letsencrypt/live/vps.adminpasbete.fr/cert.pem smtp_tls_note_starttls_offer = yes smtp_tls_enforce_peername = no
4) Redémarrer le serveur Postfix
# /etc/init.d/postfix restart
5) Effectuer un test pour valider le bon fonctionnement. Normalement, vous devriez obtenir le message : Chiffrement - Standard (TLS)
top, ça fonctionne parfaitement !
grand merci 🙂
(en favori, ça peut resservir :D)
Bonjour,
Merci pour cette info, j'ai exactement ce problème là.
Malheureusement malgré l'utilisation d'un vrai certificat et d'une bonne conf sur postfix pour TLS, les envois vers GMail arrivent toujours non chiffré 🙁
J'ai lu que apparement il faut utiliser le port 587 pour profiter du TLS avec gmail en modifiant le master.cf, mais impossible de forcer de mon côté 🙁
Est-ce que cela fonctionne toujours chez vous ?
le log sous postfix en forçant le TLS :
Oct 11 19:19:06 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host gmail-smtp-in.l.google.com[173.194.76.26]
Oct 11 19:19:06 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt1.gmail-smtp-in.l.google.com[64.233.165.26]:25
Oct 11 19:19:06 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host alt1.gmail-smtp-in.l.google.com[64.233.165.26]
Oct 11 19:19:07 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt2.gmail-smtp-in.l.google.com[74.125.68.26]:25
Oct 11 19:19:08 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host alt2.gmail-smtp-in.l.google.com[74.125.68.26]
Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt3.gmail-smtp-in.l.google.com[108.177.125.26]:25
Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host alt3.gmail-smtp-in.l.google.com[108.177.125.26]
Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt4.gmail-smtp-in.l.google.com[74.125.195.26]:25
Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: to=, relay=alt4.gmail-smtp-in.l.google.com[74.125.195.26]:25, delay=3.5, delays=0.01/0.01/3.5/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host alt4.gmail-smtp-in.l.google.com[74.125.195.26])
Bonsoir, je viens de tester et cela fonctionne toujours :). Les emails sortants sont toujours sur le port 25 et utilise le TLS.
Attention à ne pas confondre les directives SMTP et SMTPD dans la configuration :
- SMTPD = Définie la manière dont postfix va réagir lorsqu'un client souhaite lui déposer un mail.
- SMTP = Définie la manière dont postfix va communiquer avec les autres serveurs de messagerie (dans le cas d'un envoie donc).