Sicherer Mailversand mit TLS
Damit nicht jeder den eigenen Mailverkehr verfolgen kann, ist es ratsam TLS zu aktivieren. Dafür muss als Erstes ein SSL-Zertifikat erstellt werden, sofern dies nicht bereits geschehen ist. Dazu benötigt man zum Beispiel OpenSSL https://www.openssl.org/.
Unter Ubuntu oder Debian lässt sich dieses mit
|
1 |
# apt-get install openssl |
installieren.
Wir erstellen in /etc/exim/ ein Verzeichnis für unsere SSL-Zertifikate.
|
1 |
# mkdir /etc/exim4/ssl |
Als nächsten erstellen wir den Schlüssel. Der Name ist beliebig, allerdings sollte er auf „.key“ enden. In diesem Beispiel heißt er „exim.key“.
|
1 2 3 4 5 6 7 8 9 |
# openssl genrsa -des3 -out /etc/exim4/ssl/exim.key 2048 Generating RSA private key, 2048 bit long modulus ..............................................................................+++...................+++ e is 65537 (0x10001) Enter pass phrase for exim.key: |
Die Passphrase kann leergelassen werden.
Der Key ist eine Ascii-File und kann daher ausgegeben werden. Er sollte wie so ähnlich aussehen wie folgend:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
# cat /etc/exim4/ssl/exim.key -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,903C64CB0C62B138 h9FHAPNMh5E+RAzMzaqjQO2ccE8rixwJxALWb8K6+fSirC+AApglS0bVp1tMf8ps 00RHoD1dt1Pz1gO2UBP4vF921CoNx/SJMmB6cV5WvEuvn71V9c1Ff8eXfGMRfSA vFuTn2G6OhRFdvJgitpA2rk7+BLnL0lnnRNQWYZN/1iQYbNOLZGTQy9Lzg6NygyT [...] ha88fED5gHxJ2CEs4hTk/NURHhA+SaqJF2j3lEQ5n8odVTTSY0UhKNKEtiJLJpQ/ jXxPh+ZBxPuK1SdcOjZ2sWw7SOCrotEl3CiKONXTiuD31KuonGpVOGq7ZwLWvwUH V8IKzx6a8CYv8tF2LC1etLi1ZaftwOOtCGHwUdlZNoHYUXogCKROK2LXqcDv1fvs -----END RSA PRIVATE KEY----- |
Jetzt kann das Zertifikat erzeugt werden. Die Felder müssen mit den eigenen Daten gefüllt werden. Besonders wichtig ist dabei der „Common Name“. Dieser ist dabei meist die Domain des Mailservers.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
# openssl req -x509 -newkey rsa:2048 -keyout /etc/exim4/ssl/exim.key -out /etc/exim4/ssl/exim.crt -days 1095 -nodes Generating a 2048 bit RSA private key ........................................................................................................................................+++ .........................................................+++ writing new private key to 'exim.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:DE State or Province Name (full name) [Some-State]:Niedersachsen Locality Name (eg, city) []:Hannover Organization Name (eg, company) [Internet Widgits Pty Ltd]:axxeo GmbH Organizational Unit Name (eg, section) []:IT-Sicherheit Common Name (e.g. server FQDN or YOUR name) []:yourmailserver.de Email Address []: |
Damit Exim das Zertifikat auch für TLS verwendet, muss es noch richtig konfiguriert werden. Dafür kann man die folgende Datei erstellen.
|
1 |
# nano /etc/exim4/conf.d/main/00_exim4-tls |
Diese muss folgende drei Zeilen beinhalten. Ggf. müssen die Pfade und Namen angepasst werden.
|
1 2 3 4 5 |
MAIN_TLS_ENABLE = true MAIN_TLS_CERTIFICATE = /etc/exim4/ssl/exim.crt MAIN_TLS_PRIVATEKEY = /etc/exim4/ssl/exim.key |
Jetzt muss die neue Konfiguration in Exim geladen werden.
|
1 |
# update-exim4.conf |
Nachdem der Server neugestartet wurde, können von nun an Verbindungen über TLS hergestellt werden.
|
1 |
# /etc/init.d/exim4 restart |