搜索

2.3. 自定义 Postfix 服务器的 TLS 设置

download PDF

要使您的电子邮件流量加密,因此更加安全,您可以将 Postfix 配置为使用来自可信证书颁发机构(CA)的证书而不是自签名证书,并自定义传输层安全(TLS)安全设置。在 RHEL 9 中,TLS 加密协议默认在 Postfix 服务器中启用。基本的 Postfix TLS 配置包含用于入站 SMTP 的自签名证书,以及出站 SMTP 的机会 TLS。

先决条件

  • 您有 root 访问权限。
  • 您的服务器上已安装了 postfix 软件包。
  • 您有由可信证书颁发机构(CA)签名的证书和私钥。
  • 您已将以下文件复制到 Postfix 服务器:

    • 服务器证书:/etc/pki/tls/certs/postfix.pem
    • 私钥:/etc/pki/tls/private/postfix.key
  • 如果服务器运行 RHEL 9.2 或更高版本,并且启用了 FIPS 模式,则客户端必须支持 Extended Master Secret(EMS)扩展或使用 TLS 1.3。没有 EMS 的 TLS 1.2 连接会失败。如需更多信息,请参阅 强制 TLS 扩展"Extended Master Secret" 知识库文章。

流程

  1. 通过在 /etc/postfix/main.cf 文件中添加以下行,设置运行 Postfix 的服务器上的证书和私钥文件的路径:

    smtpd_tls_cert_file = /etc/pki/tls/certs/postfix.pem
    smtpd_tls_key_file = /etc/pki/tls/private/postfix.key
  2. 通过编辑 /etc/postfix/main.cf 文件,仅将传入的 SMTP 连接限制到经过身份验证的用户:

    smtpd_tls_auth_only = yes
  3. 重新载入 postfix 服务以应用更改:

    # systemctl reload postfix

验证

  • 将您的客户端配置为使用 TLS 加密,并发送电子邮件。

    注意

    要获取有关 Postfix 客户端 TLS 活动的其他信息,请通过更改 /etc/postfix/main.cf 中的以下行,将日志级别从 0 增加到 1

    smtp_tls_loglevel = 1
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.