2.3. 自定义 Postfix 服务器的 TLS 设置
要使您的电子邮件流量加密,因此更加安全,您可以将 Postfix 配置为使用来自可信证书颁发机构(CA)的证书而不是自签名证书,并自定义传输层安全(TLS)安全设置。在 RHEL 9 中,TLS 加密协议默认在 Postfix 服务器中启用。基本的 Postfix TLS 配置包含用于入站 SMTP 的自签名证书,以及出站 SMTP 的机会 TLS。
先决条件
- 您有 root 访问权限。
-
您的服务器上已安装了
postfix
软件包。 - 您有由可信证书颁发机构(CA)签名的证书和私钥。
您已将以下文件复制到 Postfix 服务器:
-
服务器证书:
/etc/pki/tls/certs/postfix.pem
-
私钥:
/etc/pki/tls/private/postfix.key
-
服务器证书:
- 如果服务器运行 RHEL 9.2 或更高版本,并且启用了 FIPS 模式,则客户端必须支持 Extended Master Secret(EMS)扩展或使用 TLS 1.3。没有 EMS 的 TLS 1.2 连接会失败。如需更多信息,请参阅 强制 TLS 扩展"Extended Master Secret" 知识库文章。
流程
通过在
/etc/postfix/main.cf
文件中添加以下行,设置运行 Postfix 的服务器上的证书和私钥文件的路径:smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem smtpd_tls_key_file = /etc/pki/tls/private/postfix.key
通过编辑
/etc/postfix/main.cf
文件,仅将传入的 SMTP 连接限制到经过身份验证的用户:smtpd_tls_auth_only = yes
重新载入
postfix
服务以应用更改:# systemctl reload postfix
验证
将您的客户端配置为使用 TLS 加密,并发送电子邮件。
注意要获取有关 Postfix 客户端 TLS 活动的其他信息,请通过更改
/etc/postfix/main.cf
中的以下行,将日志级别从0
增加到1
:smtp_tls_loglevel = 1