Рассмотрим случай, когда ваш почтовый сервер только отправляет почту. По умолчанию в postfix TLS при отправке писем отключён. Чтобы включить TLS, нужно в конфиг /etc/postfix/main.cf внести изменения:
smtp_use_tls = yes
В большинстве случаев этого достаточно. Дальше — необязательные или тонкие настройки:
tls_high_cipherlist = HIGH:@STRENGTH
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_cache
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, MD5, CAMELLIA
Указанные выше настройки postfix имеет по умолчанию, именно поэтому их можно не указывать, если вы не собираетесь их явно менять.
- tls_high_cipherlist — HIGH:@STRENGTH выбирает шифры с высоким уровнем защиты и упорядочивает их в порядке уменьшения стойкости шифра.
- smtp_tls_loglevel — уровень детализации ведения лога соединений сеансов TLS (0-4, нет-отладка).
- smtp_tls_security_level — уровень безопасности при установке защищенного соединения. Значение may предполагает использование TLS при поддержке второй стороной.
- smtp_tls_session_cache_database — имя файла базы для кэширования информации о TLS сессиях (для FreeBSD может иметь значение, например, btree:/var/db/postfix/smtp_tls_cache).
- smtp_tls_CAfile — файл со списком сертификатов доверенных центров сертификации (для FreeBSD обычно /usr/local/share/certs/ca-root-nss.crt).
- smtp_tls_protocols — список поддерживаемых протоколов.
- smtp_tls_ciphers — минимальный уровень шифрования.
- smtp_tls_exclude_ciphers — список исключаемых шифров.
Немножко безопасности
Если ваш почтовик не подразумевает приём писем, то имеет смысл отключить эту возможность:
inet_interfaces = loopback-only
inet_interfaces может принимать следующие значения:
- all — прослушивать на всех интерфейсах (по умолчанию)
- loopback-only — прослушивать адреса только на loopback интерфейсах (обычно это 127.0.0.1 и [::1])
- Список IP адресов для прослушивания через разделитель (пробел или запятая), где IPv6 адреса указываются в квадратных скобках
Если ваш почтовик должен принимать почту с определённых адресов, укажем их:
mynetworks = 127.0.0.0, [::1]
Можно указывать диапазоны сетей, например, 10.10.15.0/24.
