Problème postfix letsencrypt

huxteam · Septembre 28, 2021, 3:16pm

Bonjour,

Voila 3 jours que je lute pour chiffrer mes mails avec TLS (postfix lets encript) et je suis pas loin du pétage de plomb …
Je serai infiniment reconnaissant à celui qui pourra me débloquer ca.
Voila ou j’en suis :

J’utilise un serveur dédié ovh avec debian 9 et un serveur apache

Pour l’install de postfix, j’ai laissé les choix par défaut :
« site internet » et pour System mail name :
ns3119702.ip-51-38-42.eu

L’installation du certificat lets encrypte c’est parfaitement bien passé

apt-get install python-certbot-apache

suivi de :

certbot certonly --standalone --rsa-key-size 4096 --agree-tos --preferred-challenges http -d ns3119702.ip-51-38-42.eu

J’ai mes certificat dans le repertoire :
/etc/letsencrypt/live/ns3119702.ip-51-38-42.eu/

J’ai modifié 4 ligne dans le fichier main.cf de postfix :

smtpd_tls_cert_file=/etc/letsencrypt/live/ns3119702.ip-51-38-42.eu/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/ns3119702.ip-51-38-42.eu/privkey.pem
inet_interfaces = loopback-only
inet_protocols = ipv4

après avoir fait un reload puis un stop et un start de postfix j’envoi un mail :

echo "This is the body of the email" | mail -s "This is the subject line" huxteam@gmail.com

Je reçois bien le mail mais google m’affiche le cadenas rouge et me dit que le message n’a pas été chiffré.

J’ai essayé d’y voir plus clair en augmentant le niveau de log dan postfix en ajoutant cette ligne au fichier main.cf :

smtpd_tls_loglevel = 3

Mais ca ne je ne trouve as plus d’info dans le fichier /var/log/mail.log :

Sep 28 11:50:56 ns3119702 postfix/pickup[15846]: 60DBF4EC0A5E: uid=0 from=<root@ns3119702.ip-51-38-42.eu>
Sep 28 11:50:56 ns3119702 postfix/cleanup[18982]: 60DBF4EC0A5E: message-id=<20210928115056.60DBF4EC0A5E@ns3119702.ip-51-38-42.eu>
Sep 28 11:50:56 ns3119702 postfix/qmgr[15847]: 60DBF4EC0A5E: from=<root@ns3119702.ip-51-38-42.eu>, size=409, nrcpt=1 (queue active)
Sep 28 11:50:56 ns3119702 postfix/smtp[18984]: 60DBF4EC0A5E: to=<huxteam@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.71.26]:25, delay=0.47, delays=0.15/0.01/0.1/0.21, dsn=2.0.0, status=sent (250 2.0.0 OK  1632829856 v1si3681817wrb.18 - gsmtp)
Sep 28 11:50:56 ns3119702 postfix/qmgr[15847]: 60DBF4EC0A5E: removed

Voila aussi le resultat de la commande postconf -n :

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
inet_interfaces = loopback-only
inet_protocols = ipv4
mailbox_size_limit = 0
mydestination = $myhostname, ns3119702.ip-51-38-42.eu, localhost.ip-51-38-42.eu, , localhost
myhostname = ns3119702.ip-51-38-42.eu
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_tls_cert_file = /etc/letsencrypt/live/ns3119702.ip-51-38-42.eu/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/ns3119702.ip-51-38-42.eu/privkey.pem
smtpd_tls_loglevel = 3
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes

Merci d’avance pour vos réponses

anon96191775 · Septembre 28, 2021, 4:19pm

Ça va fortement limiter l’aide que tu pourras recevoir, je pense qu’il n’y a plus grand monde ici à utiliser Debian 9 pour un serveur mail.

Almtesh · Septembre 30, 2021, 9:12pm

Bonjour et bienvenue sur ce forum,

Relax, prends-toi une tisane, s’il le faut.
Je ne prétends pas être spécialiste de la question, mais quand on me parle de chiffrement d’e-mails, je prends plutôt à du chiffrement de bout-en-bout avec S/MIME ou PGP.
Après, il y a toujours un chiffrement entre serveurs e-mail à l’aide d’un truc du style de DKIM, mais ce n’est pas validé par une autorité de certification comme Let’s encrypt, mais dans un enregistrement DNS, enfin, je crois, comme je l’ai dit :

Je ne saisis pas, c’est un nouveau serveur ? Pourquoi Debian 9 ?
Et pourquoi ce nom de domaine ? Tu ne pourrais pas utiliser un sous-nom de domaine, du genre mail.huxteam.xyz, quitte à péter un plomb pour mettre la configuration en place, autant que ça serve pour un domaine un peu plus facile à retenir.

Ah, je crois que Debian 9 est pour la nostalgie du temps d’antant.

Clochette · Septembre 30, 2021, 9:50pm

C’est bien beau de configurer en partie Postfix, ou est la conf des routes ?

Affiche le master.cf pour que l’on vérifie que tes mails sois bien pipper pour utiliser tls.

Tu utilises Dovecot ? il faut lui aussi le configurer lui aussi pour utiliser le tls.

Je ne vois pas non plus de règles exploitant l’authentification donc soit ton fichier main est tronqué soit il est incomplet.

J’ai jamais utilisé cette conf, tu l’a sort d’un tutoriel ?

Allez zou un ch’tit lien vers un excellent tutoriel, tu peux t’en inspirer (la partie ldap par exemple peut-être retiré) :