Chiffrement des emails sortant avec Postfix

Lors de la mise en place de mon nouveau serveur de messagerie, je constate avec stupeur le petit cadenas rouge de Gmail m'indiquant que mes emails ne sont pas chiffrés. Nous allons voir dans cet article comment remédier à cela.

Problème rencontré

Prérequis

Dans cet article, je pars du principe que votre serveur Postfix fonctionne correctement (à part ce petit problème de chiffrement). Il est nécessaire de disposer d'un certificat valide. Il est possible d'utiliser un certificat Let's Encrypt.

Procédure

Version : Postfix 2.11.3

Pour connaitre la version de votre Postfix, saisir la commande suivante :

# postconf -d | grep mail_version

1) Se connecter sur votre serveur Postfix

2) Editer la configuration de Postfix

# nano /etc/postfix/main.cf

3) Ajouter/modifier les directives de votre configuration pour obtenir quelque chose qui ressemble à ça.

Attention, il est nécessaire d'adapter la configuration pour indiquer le bon chemin vers votre certificat

# TLS parameters
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_key_file = /etc/letsencrypt/live/vps.adminpasbete.fr/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/vps.adminpasbete.fr/fullchain.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/vps.adminpasbete.fr/cert.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
# on active TLS pour les connexions sortantes
# Sur un postfix anterieur a 2.3, c'est smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_key_file = /etc/letsencrypt/live/vps.adminpasbete.fr/privkey.pem
smtp_tls_cert_file = /etc/letsencrypt/live/vps.adminpasbete.fr/fullchain.pem
smtp_tls_CAfile = /etc/letsencrypt/live/vps.adminpasbete.fr/cert.pem
smtp_tls_note_starttls_offer = yes
smtp_tls_enforce_peername = no

4) Redémarrer le serveur Postfix

# /etc/init.d/postfix restart

5) Effectuer un test pour valider le bon fonctionnement. Normalement, vous devriez obtenir le message : Chiffrement - Standard (TLS)

2 commentaires sur “Chiffrement des emails sortant avec Postfix

  1. David Reply

    Bonjour,

    Merci pour cette info, j'ai exactement ce problème là.
    Malheureusement malgré l'utilisation d'un vrai certificat et d'une bonne conf sur postfix pour TLS, les envois vers GMail arrivent toujours non chiffré 🙁

    J'ai lu que apparement il faut utiliser le port 587 pour profiter du TLS avec gmail en modifiant le master.cf, mais impossible de forcer de mon côté 🙁

    Est-ce que cela fonctionne toujours chez vous ?

    le log sous postfix en forçant le TLS :

    Oct 11 19:19:06 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host gmail-smtp-in.l.google.com[173.194.76.26]
    Oct 11 19:19:06 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt1.gmail-smtp-in.l.google.com[64.233.165.26]:25
    Oct 11 19:19:06 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host alt1.gmail-smtp-in.l.google.com[64.233.165.26]
    Oct 11 19:19:07 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt2.gmail-smtp-in.l.google.com[74.125.68.26]:25
    Oct 11 19:19:08 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host alt2.gmail-smtp-in.l.google.com[74.125.68.26]
    Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt3.gmail-smtp-in.l.google.com[108.177.125.26]:25
    Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: TLS is required, but was not offered by host alt3.gmail-smtp-in.l.google.com[108.177.125.26]
    Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: enabling PIX workarounds: disable_esmtp delay_dotcrlf for alt4.gmail-smtp-in.l.google.com[74.125.195.26]:25
    Oct 11 19:19:09 DebSmtpOut02 postfix/smtp[1706]: 465015FB55: to=, relay=alt4.gmail-smtp-in.l.google.com[74.125.195.26]:25, delay=3.5, delays=0.01/0.01/3.5/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host alt4.gmail-smtp-in.l.google.com[74.125.195.26])

    • APB Informatique
      APB Informatique AuteurReply

      Bonsoir, je viens de tester et cela fonctionne toujours :). Les emails sortants sont toujours sur le port 25 et utilise le TLS.

      Attention à ne pas confondre les directives SMTP et SMTPD dans la configuration :
      - SMTPD = Définie la manière dont postfix va réagir lorsqu'un client souhaite lui déposer un mail.
      - SMTP = Définie la manière dont postfix va communiquer avec les autres serveurs de messagerie (dans le cas d'un envoie donc).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *