Sowohl beim IMAP- und POP3-Server als auch beim Postfix-Server (SMTP-Server) können die Verbindungen mithilfe von TLS/SSL abgesichert werden. Dies ist insbesondere bei IMAP- und POP3-Verbindungen wichtig, da andernfalls Passwörter unverschlüsselt übertragen werden.
Im Zusammenhang mit SSL werden X.509-Zertifikate verwendet. Ein X.509-Zertifikat enthält alle für die Identifikation des Servers oder des Clients benötigten Informationen sowie den Public Key des Zertifikat-Eigners. Zertifikate werden von einer zentralen Stelle, der so genannten Certificate Authority (CA), ausgestellt, nachdem die Identität der im Zertifikat genannten Organisation und einer vertretungsberechtigten Person überprüft wurde. Für die Beantragung eines X.509-Zertifikats bei einer CA benötigen Sie einen so genannten Certificate Signing Request (CSR), den Sie mit dem Skript /etc/imap/MAKE.CERT.sh erzeugen können. Außerdem erzeugt dieses Skript ein Test-Zertifikat, mit dem Sie schon vorab Tests der TLS/SSL-Funktionalität durchführen können. Da dieses Test-Zertifikat mithilfe eines öffentlich bekannten CA-Schlüssels erzeugt wird und somit keinen wirksamen Schutz bietet, darf es nicht für den Produktiv-Einsatz verwendet werden.
Ausführliche Informationen zum Thema TLS/SSL finden Sie im Handbuch „interNet Services Benutzerhandbuch“.
TLS/SSL-Absicherung von IMAP- und POP3-Verbindungen
Das Test-Zertifikat und den privaten Schlüssel speichern Sie an den für den IMAP-Server passenden Positionen im Verzeichnisbaum (/etc/imap/certs/in.imapd.pem bzw. /etc/imap/private/in.imapd.pem). Das Zertifikat der Test-CA legen Sie unter /etc/imap/certs/cacert.pem ab. Explizite Konfigurationseinstellungen sind beim IMAP- und POP3-Server nicht möglich. Der CSR befindet sich unter /etc/imap/imapd-csr.pem.
Beachten Sie, dass der private Schlüssel später auch zusammen mit dem offiziellen Zertifikat im Produktiveinsatz verwendet wird. Stellen Sie daher sicher, dass der private Schlüssel in jedem Fall gegen unbefugten Zugriff geschützt ist. Während der Installation werden deshalb die Zugriffsrechte für das Verzeichnis /etc/imap/private auf den Super-User (SYSROOT, TSOS) beschränkt.
Für den POP3-Server werden bei der Installation automatisch passende Links angelegt, die auf das oben genannte Zertifikat und den privaten Schlüssel für den IMAP-Server verweisen. Somit können der geheime Schlüssel (Private Key) und das Zertifikat sowohl vom IMAP- als auch vom POP3-Server genutzt werden.
Sobald Sie das Zertifikat von einer offiziellen CA erhalten haben, müssen Sie dieses unter /etc/imap/certs/in.imapd.pem ablegen und damit das nicht mehr benötigte Test-Zertifikat überschreiben.
Nachfolgend ist der Mitschnitt eines /etc/imap/MAKE.CERT.sh-Laufs abgedruckt. Benutzereingaben sind durch Fettdruck hervorgehoben.
|
1. Country Name (2 letter code) [DE]: <
|
2. State or Province Name (full name) [Bavaria]: Bayern<
|
3. Locality Name (eg, city) [Munich]: Muenchen<
|
4. Organization Name (eg, company) [Manufacturer, Ltd]: Fujitsu Technology Solutions GmbH<
|
5. Organizational Unit Name (eg, section) [Marketing]: Internet Services<
|
6. Common Name (eg, FQDN) [www.manufacturer.com]: www.fujitsu.com<
|
7. Email Address (eg, name@FQDN) [info@manufacturer.com]: info@fujitsu.com<
|
8. Certificate Validity (days) [365]: 730<
|
Certificate Version (1 or 3) [3]: <
|
9. subjectAltName:dNSName (eg, FQDN) [www.fujitsu.com]: <
|
Generating certificate, please wait...
Done
Subject: C=DE, ST=Bayern, L=Muenchen, O=Fujitsu Technology Solutions GmbH, OU=Internet Services, CN=www.fujitsu.com, emailAddress=info@fujitsu.com
The private key for IMAP has been created as /etc/imap/private/in.imapd.pem.
The certifcate for IMAP has been created as /etc/imap/certs/in.imapd.pem.
The used CA certificate has been saved as /etc/imap/certs/cacert.pem.
For using certificate and key also for POP3 we make appropriate links to the created files:
Creating link /etc/imap/private/in.ipop3d.pem to file /etc/imap/private/in.imapd.pem.
Creating link /etc/imap/certs/in.ipop3d.pem to file /etc/imap/certs/in.imapd.pem.
WARNING: Use this certificate only for testing, not for production!
#
TLS/SSL-Absicherung von SMTP-Verbindungen (Postfix)
SMTP-Verbindungen können jeweils nur zwischen zwei auf dem Übertragungsweg benachbarten Mail-Servern (Mail Transfer Agent, MTA) abgesichert werden. Eine End-to-End-Sicherheit kann mit TLS/SSL nicht garantiert werden. Insbesondere werden die Mails unverschlüsselt auf den MTAs zwischengespeichert. TLS/SSL kann jedoch für die Implementierung teil-offener Mail-Relays genutzt werden. Hierbei lässt sich der Nutzerkreis eines Mail-Relays via TLS/SSL-Authentifizierung auf die berechtigten Personen eingrenzen. Analog kann in Fällen, in denen die Mail direkt an den Empfänger gesendet wird, mit TLS/SSL eine für Mail-Sender und -Empfänger transparente Mail-Verschlüsselung realisiert werden.
Außerdem schützt TLS/SSL im Gegensatz zur Mail-Verschlüsselung (S/MIME, PGP) auf dem jeweiligen Übertragungsweg nicht nur den Mail-Inhalt, sondern auch die Meta-Daten. Daher sollte die TLS/SSL-Absicherung des SMTP-Verkehrs nach Möglichkeit immer verwendet werden.
Wenn Sie TLS/SSL in Verbindung mit Postfix nutzen, müssen Sie die entsprechenden Parameter in der Postfix-Konfigurationsdatei /etc/postfix/main.cf setzen. Dabei ist zu unterscheiden zwischen der TLS/SSL-Nutzung bei eingehenden und ausgehenden Verbindungen:
Bei eingehenden Verbindungen beginnen die Parameternamen mit dem Präfix „smtpd_“.
Bei ausgehenden Verbindungen beginnen die Parameternamen mit dem Präfix „smtp_“.
Weitere Informationen zu den verfügbaren TLS/SSL-Parametern finden Sie in der Datei /etc/postfix/sample-tls.cf.
Minimal-Konfiguration zur TLS/SSL-Absicherung bei eingehenden SMTP-Verbindungen
Nachfolgend sind die zusätzlichen Parameter für eine Minimalkonfiguration zur TLS/SSL-Absicherung einer eingehenden SMTP-Verbindung abgedruckt. Die TLS/SSL-Konfiguration nutzt das IMAP/POP3-Zertifikat auch als Postfix-Server-Zertifikat.
smtpd_tls_cert_file = /etc/imap/certs/in.imapd.pem smtpd_tls_key_file = /etc/imap/private/in.imapd.pem smtpd_use_tls = yes
Minimal-Konfiguration zur TLS/SSL-Absicherung bei ausgehenden SMTP-Verbindungen
Nachfolgend sind die zusätzlichen Parameter für eine Minimalkonfiguration zur TLS/SSL-Absicherung einer ausgehenden SMTP-Verbindung abgedruckt. Die TLS/SSL-Konfiguration nutzt das IMAP/POP3-Zertifikat auch als Postfix-Client-Zertifikat.
smtp_tls_cert_file = /etc/imap/certs/in.imapd.pem smtp_tls_key_file = /etc/imap/private/in.imapd.pem smtp_tls_CAfile = /etc/imap/certs/trusted-certs.pem smtp_use_tls = yes
Die Datei /etc/imap/certs/trusted-certs.pem (Name ist frei wählbar) muss Zertifikate aller CAs enthalten, denen vertraut werden soll. Im Testbetrieb mit Verbindungen zu einem Server, dessen Server-Zertifikat mithilfe des Skripts MAKE.CERT.sh erzeugt wurde, müssen Sie in die Datei /etc/imap/certs/trusted-certs.pem den Inhalt der Datei /etc/imap/certs/cacert.pem einbringen. Nach dem Umstieg auf Produktivbetrieb müssen Sie dieses Test-CA-Zertifikat durch das CA-Zertifikat derjenigen CA ersetzen, die das Produktiv-Server-Zertifikat ausgestellt hat.