« DANE » : différence entre les versions

De NCad Wiki
Aller à la navigation Aller à la recherche
(Page créée avec « {{Serveur de Messagerie}} 300px|center __TOC__ == Génération des certificats == * Génération du certificat du serveur Postfix : {{ Box Console | objet=openssl req -newkey rsa:4096 -sha512 -x509 -nodes -days 3650 -keyout mail.geocoucou.eu.key -out mail.geocoucou.eu.crt<br /> chmod 640 mail.geocoucou.eu.key mail.geocoucou.eu.cert<br /> chown root:postfix mail.geocoucou.eu.key mail.geocoucou.eu.cert }} * Génération du certifica... »)
 
Ligne 7 : Ligne 7 :
== Génération des certificats ==
== Génération des certificats ==


* Génération du certificat du serveur Postfix :
* Génération du certificat du serveur de messagerie avec Let's Encrypt :


{{ Box Console | objet=openssl req -newkey rsa:4096 -sha512 -x509 -nodes -days 3650 -keyout mail.geocoucou.eu.key -out mail.geocoucou.eu.crt<br />
{{ Box Console | objet=certbot certonly --standalone -d mail.geocoucou.eu }}
chmod 640 mail.geocoucou.eu.key mail.geocoucou.eu.cert<br />
chown root:postfix mail.geocoucou.eu.key mail.geocoucou.eu.cert }}
 
* Génération du certificat pour le '''chiffrement ECDSA''' :
 
{{ Box Console | objet=openssl ecparam -out mail.geocoucou.eu-ecdsa.key -name prime256v1 -genkey<br />
openssl req -new -sha512 -key mail.geocoucou.eu-ecdsa.key -out mail.geocoucou.eu-ecdsa.csr<br />
openssl req -x509 -sha512 -days 3650 -key mail.geocoucou.eu-ecdsa.key -in mail.geocoucou.eu-ecdsa.csr -out mail.geocoucou.eu-ecdsa.crt }}


== Configuration de Postfix ==
== Configuration de Postfix ==

Version du 17 juin 2025 à 18:15

.:[ Serveur de Messagerie ]:.

Installation >> Postfix avec MySQL

Filtrage anti-spam : Anti-Spam SpamAssassin | Anti-Virus Clamav

Filtrage anti-virus : Plateforme de filtrage Amavis >> Amavis avec MySQL

Plus de fonctions : Ajouter un Disclaimer | DKIM Proxy | OpenDKIM | Mailman | Maildrop | DANE | SPF

Clients de messagerie : Configurer Thundirbird | Configurer Roundcube

Pour aller plus loin : Commandes messagerie | DNSBL | MX Backup
POSTFIX Logo.png

Génération des certificats

  • Génération du certificat du serveur de messagerie avec Let's Encrypt :

certbot certonly --standalone -d mail.geocoucou.eu

Configuration de Postfix

  • Editer le fichier de configuration /etc/postfix/main.cf puis y ajouter / modifier les lignes suivantes :
smtpd_tls_cert_file = /etc/postfix/ssl/mail.geocoucou.eu.crt
smtpd_tls_eccert_file = /etc/postfix/ssl/mail.geocoucou.eu-ecdsa.crt
smtpd_tls_key_file = /etc/postfix/ssl/mail.geocoucou.eu.key
smtpd_tls_eckey_file = /etc/postfix/ssl/mail.geocoucou.eu-ecdsa.key
  • Editer le fichier de configuration /etc/postfix/master.cf puis y ajouter / modifier les lignes suivantes :
   -o smtpd_tls_security_level=encrypt
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_tls_auth_only=yes

Configuration de la zone DNS

  • Récupération du hash sha256 du certificat serveur :

openssl x509 -in /etc/postfix/ssl/mail.geocoucou.eu.crt -outform DER

  • Le hash récupéré à l'étape précédente devra être utilisé pour les enregistrements DNS suivants à configurer dans le domaine de messagerie :
Enregistrement DNS
Sous-domaine Type Utilisation Selecteur Correspondance Cible Rôle
_25._tcp TLSA 3 1 1 Serveur SMTP
_587._tcp TLSA 3 1 1 Serveur SMTP
_465._tcp TLSA 3 1 1 Serveur SMTP
Récupérée de « https://wiki.ncad.fr/index.php?title=DANE&oldid=4858 »