3.7.4 Подключение сертификата к почтовому серверу

Изображение Безопасность электронной почты и защита персональной информации очень важна в современном мире. Использование SSL/TLS сертификатов для шифрования почтового трафика обеспечивает конфиденциальность и защиту от перехвата данных во время передачи электронных писем.

Почтовые серверы Exim4 и Dovecot являются популярными решениями для организации почтовой инфраструктуры на Linux-системах. Exim4 отвечает за отправку и маршрутизацию сообщений (SMTP), а Dovecot обеспечивает доступ к почтовым ящикам через протоколы IMAP/POP3.

Важно: перед внесением изменений в конфигурацию обязательно создайте резервные копии стандартных файлов сертификатов и конфигурации. Убедитесь, что у вас есть актуальные файлы сертификата, цепочки сертификатов и приватного ключа.

Предварительные условия

Для того чтобы настроить безопасное соединение для Вашего почтового сервера, нужно заказать сертификат на почтовый домен mail.Название_Домена.com и активировать его.

После активации, перед тем как устанавливать SSL-сертификат, убедитесь, что Вы успешно прошли валідацію сертификата и имеете следующие файлы “на руках”:

  • Сертификат. Отправляется на электронную почту администратора после успешной валидации. Обычно имеет название Ваш_домен.crt.
  • Цепочка сертификатов. Отправляется на электронную почту администратора после успешной валидации. Название цепочек может немного отличаться, обычно это: USERTrust_RSA_Certification_Authority или CA_Bundle. Иногда цепочка может прийти в виде двух файлов, например Sectigo_RSA_Domain_Validation_Secure_Server_CA.crt и USERTrust_RSA_Certification_Authority.crt. В таком случае реальная цепочка – это содержимое этих двух файлов, добавленных друг к другу, именно в таком порядке.
  • Секретный (приватный) ключ. Генерируется вместе с CSR, на этапе заказа или генерации SSL. Является конфиденциальной информацией, которую строго запрещено передавать третьим лицам.
Вопрос: где найти секретный (частный) ключ моего SSL-сертификата, заказанного у TheHost?

Если SSL сертификат заказывался у нас, Вы можете найти секретный ключ в панели биллинга, в разделе SSL сертификаты. Выберите нужный сертификат щелчком мыши и нажмите сверху вправо Изменить. В одном из разделов всплывающего окна Вы сможете увидеть секретный ключ:

Секретный ключ в билинге

Настройка SSL/TLS для Exim4

Информируем: файлы сертификатов могут иметь другой путь, проверить это можете в конфигурационном файле /etc/exim4/exim4.conf.template. Путь к файлам сертификата содержится в строках:

tls_certificate = /etc/exim4/ssl/exim.crt

tls_privatekey = /etc/exim4/ssl/exim.key

1. На Вашем сервере перейдите под пользователем root, в Менеджере файлов перейдите в каталог с сертификатами /etc/exim4/ssl

2. Найдите файл сертификата /etc/exim4/ssl/exim.crt и замените стандартное содержимое на файлы Вашего приобретенного SSL. Нужно заменить последовательно сначала файл сертификата и сразу файл цепочки. Избегайте лишних пробелов в конце или в начале.

Сертифікат

После этого откройте файл приватного ключа /etc/exim4/ssl/exim.key и замените содержимое на файл Вашего приватного ключа.

Ключ

3. Перезагрузите службу Exim4 из панели управления или по SSH.

  1. sudo service exim4 restart

Настройка для Dovecot

Информируем: файлы сертификатов могут иметь другой путь, проверить это можете в конфигурационном файле /etc/dovecot/conf.d/10-ssl.conf. Путь к файлам сертификата содержится в строках:

ssl_cert = /etc/ssl/certs/dovecot.pem

ssl_key = /etc/ssl/private/dovecot.pem

1. Для Dovecot необходимо настроить файл сертификата /etc/ssl/certs/dovecot.pem и приватного ключа /etc/ssl/private/dovecot.pem.

2. Замените содержимое сертификата в файле /etc/ssl/certs/dovecot.pem на файлы Вашего приобретенного SSL. Нужно заменить последовательно сначала файл сертификата и сразу файл цепочки. Избегайте лишних пробелов в конце или в начале.

Сертифікат

После этого откройте файл приватного ключа /etc/ssl/private/dovecot.pem и замените содержимое на файл Вашего приватного ключа.

Ключ

3. Перезагрузите службу Dovecot из панели управления или по SSH.

  1. sudo service dovecot restart

Проверка настроек

Информируем: после настройки рекомендуется проверить.

  • работоспособность отправки писем через SMTP с шифрованием.
  • Возможность подключения к IMAP/POP3 через защищенное соединение.
  • валидность сертификата с помощью специализированных инструментов.

Проверка SSL/TLS соединения

  1. Проверка сертификата Exim4 (SMTP) с поддержкой STARTTLS:
  1. openssl s_client -connect s1.thehost.com.ua:25 -starttls smtp

Ожидаемый ответ должен содержать информацию о сертификате и SSL/TLS соединении:

CONNECTED(00000003)
depth=2 ...
verify return:1
---
Certificate chain
...
SSL handshake has read ... bytes and written ... bytes
---
New, TLSv1.2, Cipher is ...
  1. Проверка сертификата Dovecot (IMAP) с поддержкой STARTTLS:
  1. openssl s_client -connect s1.thehost.com.ua:143 -starttls imap

Ожидаемый ответ также должен содержать детали о SSL/TLS соединении:

CONNECTED(00000003)
depth=2 ...
verify return:1
---
Certificate chain
...
SSL handshake has read ... bytes and written ... bytes
---
New, TLSv1.2, Cipher is ...

В обоих случаях успешное соединение подтвердит, что SSL/TLS работает корректно на почтовом сервере.

Проверка логов

Логи Exim4 Вы можете просмотреть командой по SSH, или с помощью менеджера файлов.

  1. tail -n 1000 /var/log/exim4/mainlog

Важно: из-за ограничения веб-интерфейса менеджера файлов большие лог-файлы могут не открыться полностью. Рекомендуется загрузить их на локальный компьютер и просмотреть с помощью текстового редактора.